分析OpenClaw(龙虾)的安全风险。
OpenClaw(俗称“龙虾”)虽能提升效率,但其“高权限+自动化”特性使其成为数据泄露与系统入侵的高危入口。结合近期安全通报,其核心风险主要集中在以下四个维度:
1. 高危漏洞与越权失控
历史披露漏洞超250个,近期确认的高危漏洞(如CVE-2026-25253)允许攻击者通过WebSocket或Prompt注入绕过认证,静默接管网关控制权。AI执行时易出现“幻觉”或越权,可能误删核心数据、篡改指令,甚至直接接管操作系统。

2. 默认配置公网裸奔
默认绑定全零地址且允许所有IP访问,远程访问无需认证,API密钥等敏感信息明文存储。据统计,公网暴露比例高达85%,这使其成为黑客攻击的“活靶子”。

3. 供应链投毒与生态污染
官方插件市场(ClawHub)存在大量安全隐患。分析指出超10%的插件含恶意代码,部分插件会动态获取外部内容。一旦安装,极易引发供应链攻击,导致敏感信息被批量窃取。

4. 内存暴涨与资源崩溃
在处理大量短时会话或特定代码逻辑时,存在严重的积累型内存泄漏。部分版本甚至会出现网关内存飙升3倍至无响应,或在正则编译时触发V8引擎“编译时自爆”,直接导致进程瞬间崩溃。

建议防范措施:收紧权限(最小权限原则)、严管插件(仅用官方)、网络隔离(严禁公网暴露)、及时更新安全补丁。
