2026 年开年，OpenClaw（俗称 " 龙虾 "）这款本地优先的 AI Agent 自动化平台以燎原之势席卷全球，凭借自然语言指令实现 PC 全功能自动化的能力，成为开发者追捧的工具。其支持 15+ 通信平台、多模型调用、自主任务执行等特性，让效率提升的同时，也埋下了巨大的安全隐患。工信部于 2026 年 3 月 8 日正式发布 openclaw 安全风险预警通报。这款看似便捷的工具，正成为企业网络安全的 " 特洛伊木马 "，筑牢其安全防护防线已成为企业的迫切需求。

一、OpenClaw 五大核心安全痛点，直击企业网络软肋

OpenClaw 的安全风险并非单一漏洞引发的局部问题，而是贯穿系统架构、权限模型、供应链和数据流转的系统性危机，五大核心痛点直指企业网络安全的薄弱环节，带来全方位的威胁。

痛点一：高危漏洞频发，远程代码执行（RCE）风险一触即发

OpenClaw 从 2025 年 11 月发布到首个高危 CVE 漏洞出现仅耗时 2 个月，目前已有 9 个已知 CVE 被收录，CISA 已将其纳入漏洞跟踪通信。其中 CVE-2026-25253 跨站 WebSocket 劫持漏洞 CVSS 评分达 8.8，可实现一键远程代码执行，即便绑定localhost的实例也无法幸免；2026 年 3 月发现的 ClawJacked 漏洞，能让攻击者零交互完全接管 Agent，安全债务问题极为突出。

痛点二：超级权限集合，违反最小权限原则酿大祸

传统应用遵循 " 最小权限原则 " 按需分配权限，而 OpenClaw 默认获取全磁盘访问、终端 / Shell 操作、浏览器控制等超级权限，还会集合所有集成服务的 OAuth 令牌并明文存储。一旦本地出现漏洞，攻击者将借助凭证级联效应，从一个突破口迅速蔓延，导致用户全部数字身份失守。

痛点三：供应链投毒肆虐，恶意 Skills 暗藏窃密危机

OpenClaw 的插件生态 ClawHub 拥有 10,700+ Skills，但安全审查机制形同虚设，目前已发现 820 + 恶意 Skills。这些恶意 Skill 由黑产组织协调发布，伪装成正常生产力工具，可窃取 SSH 密钥、API 令牌、加密货币钱包等敏感信息，还会分发 Atomic Stealer 恶意软件，且因拥有 Agent 全部系统权限，比传统 npm/PyPI 供应链投毒的危害更大。

痛点四：数据泄露事件频发，凭证明文存储埋重大隐患

数据泄露事件频发，凭证明文存储埋重大隐患 2026 年 1 月 31 日的 某企业数据库泄露事件为企业敲响警钟，因 AI 生成代码未经安全审计，导致 475 万条记录泄露，其中 150 万 API 令牌以明文存储。OpenClaw 本身存在凭证明文存储、数据自由流向 LLM 和第三方的问题，用户私密交互内容随时可能成为攻击者的情报来源，引发严重的数据泄露。

痛点五：自主决策易失控，缺乏紧急制动机制致损失不可逆

当 OpenClaw 具备自主决策和系统操作权限后，" 失控 " 从科幻概念变为现实。有用户遭遇 Agent 批量删除邮件的情况，因系统无 " 一键停止 " 功能，最终只能通过物理断电终止操作。且邮件删除、文件修改等操作执行后无法撤回，其自主决策的不可控性，会给企业带来难以挽回的损失。

二、OpenClaw 安全防护方案：

面对 OpenClaw 的复合型安全威胁，单一防护手段已力不从心。绿盟科技结合多个安全产品，构建 " 检测 - 防护 - 治理 " 三位一体的立体防御体系，为企业筑牢 AI Agent 安全防线。

1、全流量探针 UTS 精准发现 " 影子资产 "，实现全网可视

针对 OpenClaw 隐蔽部署、难以发现的痛点，绿盟 UTS 流量探针实现泛场景、多维度的检测覆盖，构建三重检测维度精准锁定 OpenClaw：

Web 控制台流量检测（HTTP + WebSocket）：精准识别响应报文中的特征串，捕获用户访问 OpenClaw 管理界面的流量；深度解析 WebSocket 请求报文，匹配 id 等唯一标识，发现 OpenClaw 控制端与服务端的实时通信行为。

mDNS 广播流量检测（启动阶段识别）：OpenClaw 启动时会自动通过 Bonjour 服务广播自身信息，UTS 可精准捕获这类 " 自曝 " 流量，识别组播地址和端口、服务类型识别，主机名及包含版本、实例 ID 的 TXT 记录，甚至定位到具体部署端口，实现 " 早发现、早处置 "。

全生命周期覆盖：从 OpenClaw 启动广播、Web 控制台访问到实时控制通信，UTS 可实现全流程检测，无论其是否对外提供服务，都能有效发现，帮助企业消除 " 影子资产 "，满足等保、数据安全法等合规要求。

2、漏洞扫描 RSAS 实现 openclaw 资产和漏洞闭环管理

面对隐匿 OpenClaw 资产难发现，OpenClaw 高危漏洞易漏检，风险资产定位难等痛点，   漏洞扫描 RSAS 通过深度资产扫描、以及专业 AI 组件漏洞模板，实现 OpenClaw 资产和漏洞闭环管理。

精准资产发现与深度探测。针对 OpenClaw 默认端口不对外暴露的特性，通过登录扫描方式，自动匹配 AI 组件漏洞模板，实现对目标资产的精准识别与深度漏洞探测。

全面漏洞覆盖与高危聚焦。可检测访问控制错误、命令 / 参数注入、数据伪造、路径遍历、跨站脚本 / 请求伪造等多类型漏洞，帮助用户全面排查安全风险。

资产 & 风险可视化展示。提供直观的资产信息与漏洞数据可视化界面，并支持漏洞知识库查询，便于安全团队快速定位问题根源，高效响应。

3、WEB 应用防火墙 WAF 支持 openclaw 专项防护规则，阻断漏洞利用和恶意访问

针对 OpenClaw 高危漏洞与网络攻击，绿盟 WAF 构建多层次防护体系：

网络层防护：WAF 提供 HTTP 访问控制与站点精细化配置，通过源 IP 白名单、地理区域封禁、确保 OpenClaw Gateway 仅对授权网络可见。

应用层防护：结合语义引擎 + 规则引擎，实时匹配已知攻击特征，深度解析语义语法，防止 WEB 漏洞利用攻击；

支持 OpenClaw 专项防护规则

·内容检测：拦截 prompt 中包含 system.run、cat /etc、export API_KEY 等高危指令。

·API 接口调用：限制 /api/v1/agents/exec、/skills/install 等高危接口的调用频率与权限。

·文件防护：禁止 file_path 参数包含 ../、/root、/etc 等敏感路径。

4、入侵防护系统 IPS 支持 OpenClaw 精准检测和阻断

IPS 通过三重维度检测及 SSL 解密，实现 OpenClaw 精准检测和阻断：

Web 连接检测：通过流量检测设备监控 18789、19890 端口异常连接，识别 WebSocket 恶意通信特征并阻断外联。

OpenClaw 工具特征识别：针对 HTTP 访问，响应中检测含 OpenClaw Gateway、clawd、WebUI 等关键词

威胁情报检测：升级即可支持，更新威胁情报库并加强边界防护，及时发现并处置可疑行

SSL 解密后检测：无论内网、外网流量，均可卸载后透明检测

5、AI 安全一体机结合防火墙实现 AI 智能体的精准识别与全面管控

精准识别：AI 安全一体机内置 AI 智能体发现能力，可主动扫描内网环境，精确识别哪些主机部署了 OpenClaw 等 AI 智能体。

灵活管控：根据企业策略，可对非法部署的 OpenClaw 进行网络隔离，对合法部署的 OpenClaw 进行全程行为跟踪。

纵深防御：防火墙对 OpenClaw 的会话访问进行实时分析，识别恶意 URL、入侵威胁、病毒等风险，确保每一次访问都安全可控。

三、企业通用 OpenClaw 安全防护措施

针对 OpenClaw 的五大核心安全痛点，企业可以通过以下安全措施，缓解安全风险。

防护一：防患于未然，减少高危漏洞风险

针对 OpenClaw 各类高危漏洞及 RCE 风险，可以采用以下安全措施：

1、openclaw 升级至最新版本（v2026.2.25 及 v2026.3.1 等版本）；

2、定期漏洞扫描；

防护二：最小权限管控，安全隔离运行

针对 OpenClaw 超级权限带来的风险，可以采用以下安全措施：

1、需按照最小权限原则限制 OpenClaw 的访问范围

2、将 OpenClaw 部署在专用 VM / 容器中实现网络隔离；

3、关闭非必要端口；绑定   localhost（127.0.0.1:18789）

4、启用强认证机制，设置复杂密码并配置速率限制，替代原有简单密码模式，从源头杜绝超级权限滥用。

防护三：审计 Skills 白名单，避免供应链投毒

针对 ClawHub 恶意 Skills 肆虐的供应链投毒问题，可以采用以下安全措施：

1、审计 Skills 白名单、禁止安装未审计插件；企业内部需建立 Skills 白名单审计机制，仅允许安装经过安全审查的合法 Skills，对所有拟安装的 Skills 进行全流程安全检测，排查是否存在窃密、植入恶意程序等行为；

2、定期审计已安装 Skills 的运行状态，及时发现并清理恶意插件，落实供应链安全的 " 组件白名单 + 审查 " 要求。

防护四：凭证加密存储，数据防泄露

针对 OpenClaw 凭证明文存储、数据泄露频发的问题，可以采用以下安全措施：

1、凭证加密存储

2、数据防泄漏

防护五：针对自主决策失控痛点，隔离运行 + 人工管控实现操作可控

针对 OpenClaw 自主决策不可控、缺乏紧急制动的问题，可以采用以下安全措施：

1、将 OpenClaw 的执行操作置于沙箱隔离环境中，避免其破坏性操作直接影响核心业务系统。

2、人工审批关键操作。建立关键操作人工审批工作流，落实 " 先预览再确认 " 原则，对文件批量删除、系统命令执行等高危操作，必须经人工预览确认后才可执行。禁止全自动驾驶模式，让 Agent 操作全程可控。

3、设置决策边界约束，对 Agent 的高危操作进行实时监控和预警，一旦发现异常的自主执行行为，及时发出告警并触发限流机制。

四、  OpenClaw 安全防护从被动响应转向主动免疫

绿盟科技结合多个安全产品，构建 " 检测 - 防护 - 治理 " 三位一体的立体防御体系，为企业筑牢 AI Agent 安全防线，不仅能精准对应化解 OpenClaw 的五大核心安全痛点，更能实现安全风险的系统性收敛，让企业对 OpenClaw 的安全防护从被动响应转向主动免疫。

OpenClaw 的爆红，标志着 AI Agent 从概念验证走向大众应用，技术创新的步伐不可阻挡，但绝不能以牺牲安全为代价。AI Agent 打破了传统安全 " 边界清晰、权限静态、数据流动可控 " 的基本假设，企业的安全范式也需从 " 边界防护 " 全面转向 " 零信任 + 持续验证 "。依托 UTS 精准发现、WAF 全面防护、AI 安全一体机深度治理的三位一体方案，企业既能享受 OpenClaw 带来的效率提升，又能守住安全底线，在 AI Agent 时代重建网络安全边界，让技术创新在安全的轨道上稳步前行。