📌 TL;DR: 2026年1月,安全研究员构造了一个恶意链接发给OpenClaw用户。用户点击。从点击到Agent被完全控制:毫秒级。攻击者获得了文件系统、终端、API密钥、邮件、日历——OpenClaw能做的所有事,攻击者都能做。 这不是个案。135,000个OpenClaw实例暴露在公网,超过15,000个存在远程代码执行漏洞,1,184个恶意技能被植入技能市场。三周时间,一个工具从"会干活的AI"变成了多层次安全危机的中心。 攻击序列只有三步:关闭用户确认机制,逃逸隔离环境,执行任意命令。这三步,恰好是在系统性拆除裁定层的每一个组件。攻击者通过漏洞获得的,正是裁定权本身。 漏洞可以被修复。但"Agent拥有最高权限"这个前提不会消失——因为这正是它能干活的原因。真正的问题是:谁可以在什么条件下触发什么操作?哪些操作永远需要人类确认?这些问题需要在设计阶段就有答案,不是在被黑了之后。

龙虾被黑了:当Agent拥有最高权限,安全边界在哪丨OpenClaw安全危机,暴露的不只是漏洞

2026年1月,OpenClaw爆红三周后。

安全研究员Mav Levin发布了一份报告。

他做了一件事:构造了一个恶意链接,发给了一个运行着OpenClaw的测试用户。

用户点击了链接。

从点击到OpenClaw被完全控制——耗时:毫秒级。

整个过程,用户什么都不知道。OpenClaw也没有任何提示。

攻击者此刻拥有了什么?用户机器上的完整权限——文件系统、终端、API密钥、邮件账户、日历、连接的所有服务。因为这正是OpenClaw运行所需要的权限。它的能力边界,就是攻击者的战利品清单。

NotebookLM的音视频概览,解读的比较通俗易懂,对于时间比较紧张的读者朋友,可以听听,会有启发。


一个链接,能做到什么

这个漏洞被追踪为CVE-2026-25253,CVSS评分8.8。它被描述为一个token窃取漏洞,可以导致网关被完全控制。

技术上发生了什么?OpenClaw的本地服务器没有验证WebSocket的origin头——所以任何你访问的网站,都可以静默地连接到你正在运行的Agent。攻击者只需要你点击一个链接。从那里,他们把跨站WebSocket劫持链接成了你机器上的完整代码执行。整个攻击在毫秒内完成。

更值得注意的是:这个漏洞甚至在配置为只监听本地回环地址的实例上也可以被利用,因为受害者的浏览器主动发起了出站连接。

换句话说:你以为把它锁在本地就安全了,但它的浏览器帮攻击者打开了门。

数字,让问题的规模变得具体

漏洞本身已经很严重。但真正让这件事成为危机的,是规模。

SecurityScorecard的STRIKE威胁情报团队在2026年2月初发布的全球扫描数据显示,超过135,000个OpenClaw实例暴露在公共互联网上,分布在82个国家。其中超过15,000个实例专门容易受到远程代码执行攻击,超过53,000个实例与此前的入侵活动相关联。

135,000个实例。每一个都是一台拥有最高权限的机器,运行着一个可以操控它所有者数字生活的Agent。

与此同时,Wiz研究人员发现,OpenClaw相邻社交网络Moltbook的一个配置错误的Supabase数据库,暴露了150万个API认证令牌和35,000个电子邮件地址。

还有供应链层面的攻击:ClawHavoc是一场协调的供应链攻击活动,在ClawHub技能市场上植入了超过1,184个恶意技能,目标是OpenClaw用户。攻击活动使用三种主要技术:嵌入技能描述文件的提示注入、隐藏的反向Shell脚本、以及从配置文件中窃取凭据。

三周时间,一个工具从"会干活的AI"变成了多层次安全危机的中心。

这不是OpenClaw的问题,这是所有Agent的结构性困境

这里需要说一件重要的事,否则这篇文章会变成一篇针对OpenClaw的批评。

OpenClaw的创始人Peter Steinberger,在发现问题后的行动是透明的、负责任的——漏洞在发现后迅速修复,安全公告及时发布,他本人在Discord上对风险的警告一直是诚实的。

OpenClaw在爆红后三周内成为多向量安全危机的焦点,涉及一个严重的远程代码执行漏洞、大规模技能市场供应链投毒活动,以及放大影响的系统性架构弱点。

但这些弱点,不是OpenClaw独有的设计失误。它们是当前所有Agent架构共同面临的结构性困境

Agent的实体决定要做什么,不总是执行操作的那个实体。在运行时,Agent加载第三方代码,读取不受信任的输入,并使用持久凭据采取行动,使运行时环境成为新的安全边界。

翻译成白话:Agent越能干,它的权限就越高;权限越高,被攻击者利用的代价就越大。 这是一个内在的张力,不是某家公司的失误。

安全漏洞和裁定层缺失,是两个问题,但根源相同

到这里,需要做一个区分:

CVE-2026-25253这个漏洞,是工程实现层面的缺陷——WebSocket origin验证的缺失,这是一个可以被修复的具体Bug。它和裁定层是不同层次的问题。

但这次安全危机揭示的更深层问题,和裁定层直接相关:

当Agent拥有最高权限,当它的执行是自动的、不可逆的,当攻击者接管了它的裁定权——没有任何裁定层设计能阻止攻击者用这些权限做他们想做的事。

这里的问题不是Bug,而是架构:

攻击者通过漏洞获得的,正是"裁定权"本身。

他们获得了决定"Agent下一步做什么"的权力。他们可以禁用沙箱,关闭安全护栏,执行任意命令——攻击者发送exec.approvals.set请求关闭用户确认,发送config.patch请求强制命令在宿主机而非Docker容器内运行,最后发送node.invoke请求执行任意Shell命令。

注意这个攻击序列:关闭确认机制,逃逸隔离环境,执行命令。

这三步,恰好是在系统性地拆除裁定层的每一个组件

判断工程在这个场景里能做什么,不能做什么

需要诚实地说清楚边界。

判断工程不能防止漏洞的存在。 CVE-2026-25253是一个工程实现的缺陷,需要工程修复,不是裁定层设计能解决的问题。

但判断工程能做的是:让"裁定权被接管"这件事更难发生,以及发生之后损失更可控。

具体来说:

触发条件的设计可以限制哪些操作类别允许无需确认地自动执行。如果"禁用沙箱"和"关闭用户确认"这两个操作被设计为高风险触发条件,攻击者的第一步和第二步就需要额外的权限才能完成。

后果归属的记录意味着每一个裁定节点都有可追溯的日志。攻击者的操作序列会被记录——不是作为预防手段,而是作为发现和定位攻击的基础。

升级机制的设计意味着当系统检测到异常的裁定模式,可以触发暂停或警报,而不是无声地继续执行。

这些设计不能替代安全漏洞的修复。但它们是纵深防御的一层——当外层防线被突破,裁定层的设计决定了攻击者能走多深。

一个更根本的问题

OpenClaw代理拥有对消息账户、电子邮件、日历、智能家居设备以及潜在的企业系统的访问权限。一个被攻击的OpenClaw实例不只是一台被黑的服务器——它是一个被攻击的数字生活。

这句话值得停下来想一想。

当一个Agent真正能干活——真正拥有操控你数字生活的权限——安全边界就不再只是"这台机器是否被入侵",而是"谁在任何时刻拥有这个Agent的裁定权"。

这是一个比漏洞修复更根本的问题。漏洞可以被修复,但**“Agent拥有最高权限"这个设计前提不会消失**——因为这正是它能干活的原因。

所以真正的问题是:在这个前提下,裁定权的设计应该是什么样的?

谁可以在什么条件下触发什么操作?哪些操作类别永远需要人类确认?当系统检测到异常的裁定序列,默认行为是暂停还是继续?

这些问题,在Agent系统的设计阶段就需要有答案。

不是在被黑了之后。

一句话总结

OpenClaw爆红三周后,一个恶意链接让攻击者在毫秒内完全控制了用户机器——因为Agent拥有的最高权限,成了攻击者的战利品清单;135,000个实例暴露在公网,1,184个恶意技能植入技能市场,攻击序列的三步恰好是在系统性拆除裁定层的每个组件:关闭确认机制、逃逸隔离环境、执行任意命令——这不是OpenClaw的失误,是所有Agent架构共同面临的结构性困境,而裁定层的设计决定了当外层防线被突破时,攻击者能走多深。

我是「AioGeoLab」主理人塔迪Tardi,AioGeoLab是深度洞察AI第一性原理和应用实践的前瞻性研究实验室,目前有两个主要研究方向:
塔迪GEO判断工程」是基于GEO的价值SEO化,在AI从“说”到“做”的重要跃迁阶段,试图回答,如何让AI敢于行动、不因为责任问题而畏手畏脚,而做的一个前沿研究项目。
塔迪硅基禅心」是传统东方智慧、未来AI前沿、当下应用实践,深层共鸣的探索。不是用AI解读经典,也不是用经典指导AI。 这是一场跨越2500年的对话,在算法与古老智慧之间,照见意识、智能与存在的本质。
塔迪的微信 - tardyai2025