一、快速扩张背后的安全隐忧 随着智能化技术加速渗透各行各业,具备自动化任务处理能力的智能体框架正在全球范围内迅速普及。
国家网络与信息安全信息通报中心最新监测数据显示,智能体框架OpenClaw自发布以来,凭借开放式插件生态与强大的任务调度能力,在全球范围内引发大规模部署热潮,目前全球活跃互联网资产已超过20万个。
其中,境内活跃资产约2.3万个,主要集中于北京、上海、广东、浙江、四川、江苏等互联网资源密集地区,呈现出爆发式增长态势。
然而,规模扩张的背后,是大量暴露于公开网络环境中的安全隐患。
通报中心指出,大量OpenClaw资产直接暴露于互联网,极易成为网络攻击的重点目标,相关安全风险已不容忽视。
二、五大安全风险系统性存在 通报中心对OpenClaw的安全状况进行了系统性评估,归纳出五个层面的主要风险。
在架构设计方面,OpenClaw采用多层架构,但各层均存在明显设计缺陷。
消息集成网关层可被攻击者伪造消息绕过身份认证;智能体层可通过多轮对话方式篡改智能体行为逻辑;执行层与操作系统直接交互,存在被完全控制的风险;插件生态层则可能因遭受投毒的恶意插件而批量感染用户设备。
这种"层层皆可破"的架构特性,使整体安全防线极为脆弱。
在默认配置方面,OpenClaw默认绑定公网地址并允许所有外部IP访问,远程接入无需账号认证,应用程序接口密钥与聊天记录等敏感信息以明文形式存储,公网暴露比例高达85%。
这意味着绝大多数部署实例在未经任何安全加固的情况下直接面向互联网开放,攻击门槛极低。
在漏洞管理方面,OpenClaw历史披露漏洞多达258个。
在近期暴露的82个漏洞中,超危漏洞12个、高危漏洞21个、中危漏洞47个,以命令注入、代码注入、路径遍历及访问控制缺陷为主要类型,且利用难度普遍较低,攻击者无需具备高水平技术能力即可实施有效攻击。
在供应链安全方面,通报中心对插件平台ClawHub上的3016个技能插件进行分析后发现,336个插件包含恶意代码,占比高达10.8%。
此外,17.7%的插件会获取不可信第三方内容,2.9%的插件会在运行时从外部端点动态加载执行内容,攻击者可借此远程篡改智能体的执行逻辑,形成持续性安全威胁。
在智能体行为管控方面,OpenClaw智能体在执行指令过程中易发生权限失控现象,可能越权执行任务、无视用户指令,进而导致用户数据被删除、个人信息遭窃取乃至终端设备被接管,潜在经济损失不可估量。
三、安全隐患的深层成因 上述风险的集中暴露,折射出当前智能体技术快速发展过程中普遍存在的结构性矛盾。
一方面,相关框架在研发阶段往往优先追求功能完备性与部署便捷性,安全设计被置于次要位置,导致默认配置宽松、权限管控缺失等问题在产品发布之初便已埋下隐患。
另一方面,开放式插件生态在降低开发门槛、丰富功能场景的同时,也为恶意代码的渗透提供了便利通道,供应链安全审查机制的缺位使风险进一步放大。
与此同时,部分用户和机构在部署此类框架时安全意识不足,未能及时更新版本、优化配置或实施必要的访问控制措施,客观上加剧了整体风险敞口。
四、主管部门提出四项防范建议 针对上述风险,通报中心提出了具体的防范措施。
其一,及时升级版本。
应通过可信渠道获取安装程序,持续关注官方安全公告,及时将系统更新至最新版本,确保已披露漏洞得到有效修复。
其二,优化默认配置。
应将服务限定在本地或内网地址运行,避免绑定公网地址或开放不必要端口;如需使用反向代理,须同步配置身份认证、IP白名单及加密传输机制。
其三,加强账户认证管理。
应启用完善的身份认证机制,设置高强度密码并定期更换,严禁使用弱口令,从访问入口层面筑牢安全防线。
其四,限制智能体执行权限。
应对智能体的操作能力实施必要约束,仅允许执行经白名单审核的系统命令与操作权限,防止智能体在遭受恶意指令利用后对用户终端设备造成实质性破坏。
网络安全的本质是治理能力与风险意识的综合较量。
工具越强大、生态越开放,越需要以更严格的基线、更及时的修补、更清晰的权限边界来守住底线。
面对快速增长的互联网资产与持续演化的攻击手法,各方唯有把“默认安全”和“最小权限”落到每一次部署与每一次更新中,才能在创新与安全之间实现更可持续的平衡。