OpenClaw安全风险爆发：国产厂商的攻防博弈与自保指南

2026年一季度爆红的开源AI智能体OpenClaw，正在从技术宠儿变为安全重灾区。工信部、国家信息中心相继发出风险预警，多个高危漏洞被曝出，智谱AI、清华大学等机构紧急推出加固版本。在这场安全攻防战中，国产厂商正在探索一条本地化隐私保护的主动免疫路径。

高权限双刃剑：功能强大等于风险敞口

OpenClaw的核心设计理念是"本地优先+高权限执行"，这也正是其安全风险的根本来源。 与传统AI助手仅被动响应指令不同，OpenClaw能够自主完成文件管理、邮件收发、日程安排、浏览器操控甚至在线支付等高敏感操作。这种"超级员工"式的功能扩展，意味着它必须被授予访问整个数字生活的最高权限。

据工信部网络安全威胁信息共享平台监测，OpenClaw在默认或不当配置下存在较高安全风险，极易引发网络攻击和信息泄露。具体表现为四类风险：数据"裸奔"——用户对话记录、账号口令、本地文件均以明文存储；行为"脱缰"——对模糊指令解析准确性不足，存在"过度执行"倾向；权限"失控"——框架内置权限管控薄弱，易被恶意提示词诱导突破限制；部署"盲区"——定位为开发者实验项目，缺乏商业化安全打磨。

澳大利亚网络安全公司Dvuln的测试证实，攻击者可利用OpenClaw漏洞获取用户数月内的私人消息、账户凭证、API密钥等敏感信息，一旦被入侵，"一秒就可以搬空"。

漏洞集中爆发：两个月曝出3个高危CVE

2026年2月至3月间，OpenClaw连续被披露多个高危CVE漏洞，安全问题呈现集中爆发态势。 其中CVE-2026-25253和CVE-2026-25157被评定为高危级别，攻击者可借此实现远程代码执行和敏感数据窃取。更值得警惕的是，其Skills插件生态中存在约10.8%的恶意投毒样本，用户在追求效率安装第三方技能时，极易成为攻击目标。

安全机构监测发现，全球有上万个OpenClaw实例直接暴露在公网上，处于无防护的"裸奔"状态。这些实例一旦被扫描到，攻击者即可尝试自动化漏洞利用。此外，"间接提示词注入"攻击正在成为新型威胁——黑客只需发送一封夹带恶意指令的邮件，当OpenClaw读取并"理解"时，就可能被操控去窃取资料或执行破坏命令，由于OpenClaw具备持续记忆，一次攻击的影响可能潜伏数周后才爆发。

国产厂商紧急响应：智谱AI、清华等发布加固版本

面对OpenClaw安全漏洞的集中暴露，国产厂商迅速启动应急响应，推出多款加固版本和替代方案。 智谱AI于3月10日正式上线AutoClaw，这是国内首个真一键安装的本地版OpenClaw，在保留核心功能的同时，针对性加强了权限隔离和密钥管理。AutoClaw采用"双模式架构"：本地"龙虾"模式需要用户保证PC在线，任务由电脑端执行；云"龙虾"模式则任务直接在云端运行，两种模式在安全策略上做了明确区隔。

清华大学NLP实验室联合多所高校，于2月12日正式发布EdgeClaw，这是一款端云协同的个人AI助手，基于OpenClaw构建但实现了核心安全突破。EdgeClaw提出了"三层安全协议"和GuardAgent协议，实现了"公开数据上云、隐私数据留本地"的智能路由机制，有效降低了敏感信息的暴露面。

青云科技旗下的AI算力云基石智算，率先完成了对OpenClaw应用的安全升级，以专属密钥安全访问体系为核心，构建了多层安全防护屏障，实现"一键启动、一步配置、安全在线"的部署体验。

安全使用指南：普通人如何自保

普通用户在拥抱OpenClaw强大功能的同时，必须建立清晰的安全边界意识。 首先，坚持"非必要不部署"原则，避免在存储个人隐私数据的主机上运行，尤其不要在处理工作秘密的设备上安装。其次，务必关闭非必要端口，启用防火墙访问控制，避免将实例暴露在公网。

对于必须使用的用户，建议采用"最小权限原则"：仅授予完成任务所需的最低权限，避免给予完整的系统访问权限。同时，定期检查API密钥和会话记录，发现异常及时清理。第三方Skills插件应从可信来源安装，避免安装来路不明的自动化脚本。

从行业视角看，OpenClaw的安全危机揭示了AI Agent时代的一个核心矛盾：功能越强大，权限越高，风险越大。 未来的AI智能体必须在功能扩展与安全可控之间找到新的平衡点。国产厂商的快速响应表明，在AI Agent这场持久战中，本地化隐私保护正在成为差异化竞争的关键维度。