OpenClaw风险全链路分析及安全提示

OpenClaw风险全链路分析及安全提示前言OpenClaw（前身为Clawdbot、Moltbot）是2025年11月上线的开源AIAgent框架。该项目被开发者定义为“可真正执行任务的AI”，以惊人速度成为GitHub历史上增长最快的现象级项目之一，上线以来累计获得超过200,000颗星。在OpenClaw得到爆炸式增长的同时，暴露出的安全问题也较为突出。OpenClaw框架的核心能力涵盖了广泛的自动化场景：1.信息处理能力：浏览网页、总结PDF文档、分析截图内容；2.日程管理能力：安排日历事项、发送提醒通知；3.商务自动化能力：代客进行在线购物、处理电子邮件；4.系统集成能力：读写本地文件、控制桌面应用；5.通信集成能力：集成微信、飞书、WhatsApp、iMessage等主流消息平台；6.持久化记忆功能：记住数周甚至数月前的交互记录，作为始终可用的个人AI助手持续运行。OpenClaw为实现上述功能需要获取用户的认证凭证（包括密码和API密钥），浏览器历史和Cookie，以及系统内所有文件和文件夹的访问权限。用户可通过消息触发其操作，OpenClaw会在主机设备上持续运行直至完成任务。OpenClaw这种深度系统集成模式，虽然在功能层面提供了强大的自动化能力，但在以下层面存在较为突出的安全问题：1.漏洞层面：截至2026年3月11日，OpenClaw被披露漏洞数量82个，其中高危漏洞33个、中危漏洞47个、低危漏洞2个；2.暴露面层面：SecurityScorecard统计数据显示，截至2026年3月11日，公网上可被探测到的OpenClaw暴露实例累计超46.9万个（活跃数量20.3万个）。其中，通过版本匹配检测发现，27.2%的实例存在高危漏洞，面临被利用攻击风险；3.生态层面：OpenClaw官方复盘称，2026年2月24日至3月2日，ClawHub（OpenClaw插件平台）中约20%的插件（Skills）为恶意或可疑插件，ClawHub成为植入恶意代码的重要渠道；4.企业内部部署层面：22%的受监控企业发现员工存在私自安装OpenClaw“影子部署”的行为，这类未授权部署绕过企业安全管控，形成了隐蔽的安全风险点；5.恶意软件感染层面：已出现针对OpenClaw配置环境的Vidar窃取木马变种。该木马以OpenClaw敏感信息为目标，对其配置文件进行针对性窃取外传。数据来源：/openclaw/openclaw/releaseshttps://declawed.io/https://openclaws.io/blog/openclaw-february-security-crisis/https://www.token.security/blog/the-clawdbot-enterprise-ai-risk-one-in-five-have-it-installed/2026/02/infostealer-steals-openclaw-ai-agent.htmlOpenClaw发展历程项目起源OpenClaw由奥地利开发者PeterSteinberger创建，最初是一个人的周末项目，目标是构建一个通过WhatsApp消息控制的本地AI助手。其项目核心设计理念是：“让AI通过你已经在用的聊天App跟随你”。OpenClaw与传统AI工具不同，它不在浏览器沙盒中运行，而是直接在宿主机操作系统层运行，拥有执行Shell命令、读写文件、控制浏览器的权限。OpenClaw发展历程时间线时间事件2025年11月项目以Clawdbot名称首次发布，初期反响平淡2026年1月下旬在

X（原Twitter）爆红，24小时内获得2万GitHubstars；便于部署的Macmini设备在美国多地发生脱销2026年1月27日Anthropic发出商标侵权警告（Clawdbot与Claude过于相似），项目被迫改名为Moltbot2026年1月29日项目再次更名为OpenClaw，同日发布安全补丁版本v2026.1.292026年2月15日OpenAICEOSamAltman宣布Steinberger加入OpenAI，OpenClaw将转由独立基金会运营2026年3月初多家国内社交媒体平台宣布支持与OpenClaw通信OpenClaw架构Gateway网关核心控制面，默认监听

:18789（旧版）或

localhost:18789（新版），接收来自微信等社交媒体或

ControlUI

的指令；ControlUI控制面板基于

Web

的管理界面，负责配置

Agent、工具权限、集成服务；Nodes节点远程执行主机，Agent

可在其上执行命令、控制浏览器；Skills技能/插件第三方扩展插件，通过

ClawHub分发；Memory记忆长期上下文存储，以明文

Markdown/JSON

形式保存于宿主机。OpenClaw安全风险截至目前，已公开的OpenClaw相关安全事件的时间线如下：时间重要事件2026年1月末1.@fmdz387通过Shodan扫描发现近千个无认证OpenClaw实例2.

卡巴斯基（Kaspersky）安全审计发现512个漏洞，其中8个为严重级别3.

研究员JamiesonO'Reilly成功获取各类第三方服务API密钥、TelegramToken及聊天记录2026/1/291.CNVD-2026-13289（CVE-2026-25253）的修复版本v2026.1.29发布（抢在漏洞公开披露前）2.

厂商同日发布CNVD-2026-13290（CVE-2026-25157）、CNVD-2026-13291（CVE-2026-24763）安全公告2026/2/31.SecurityWeek公开披露CNVD-2026-13289（CVE-2026-25253）漏洞2.depthfirst发布技术分析：完整1-ClickRCE攻击链（KillChain）2026/2/4厂商再次发布2个安全公告，一周内累计发布5份安全公告2026/2/5SnykToxicSkills报告：36%

的ClawHub

Skills存在安全缺陷，确认76个含有恶意payload2026/2/91.SecurityScorecard统计发现OpenClaw公网暴露实例超过13.5万，9.5%的实例存在高危漏洞风险，易被攻击者接管控制2.Bitsight统计数据显示，1月27日至2月8日期间发现暴露实例超过3万2026/2/14厂商发布CNVD-2026-13292（CVE-2026-27001）漏洞补丁（版本

v2026.2.13），修复日志投毒、提示词注入（promptinjection）问题2026/2/18EndorLabs

披露6个新CVE漏洞，涉及SSRF、认证绕过、路径穿越等类型2026/2/231.TrendMicro

发布ClawHavoc详细分析报告2.

被发现39个恶意技能、AMOS变种信息窃取木马，其C2服务器为02026/2/261.OasisSecurity披露“ClawJacked”漏洞（CSWSH+localhost旁路）2.

厂商24小时内发布修复版本v2026.2.252026年3月初1.截至2026年3月11日，公网上可被探测到的OpenClaw暴露实例累计超46.9万个（活跃数量20.3万个）。其中，通过版本匹配检测发现27.2%的实例存在高危漏洞，面临被利用攻击风险2.KoiSecurity更新审计：10700个技能中，超过820个为恶意技能3.SMU等多所大学正式发布OpenClaw禁用通告OpenClaw漏洞风险随着OpenClaw的广泛部署，一系列安全漏洞被陆续发现并分配了漏洞编号，已披露的漏洞情况统计如下：82个CVE漏洞：截至2026年3月初，已披露82个OpenClaw相关CVE漏洞3个漏洞的利用代码被公开：可实现远程代码执行修复进度：截至2026年3月12日，厂商已发布v2026.3.11版本，修复40余个漏洞重点漏洞列表项目详情漏洞编号CNVD-2026-13289（CVE-2026-25253）危害级别高危漏洞类型错误资源传输

/

跨站WebSocket劫持影响版本v2026.1.29之前版本修复版本v2026.1.29PoC

状态已公开漏洞原理ControlUI模块从URL的querystring中读取gatewayUrl参数时，未做任何来源验证，会自动建立WebSocket连接，并将认证Token

包含在握手载荷中发送。由于浏览器不对WebSocket连接执行同源策略（Same-OriginPolicy，SOP），攻击者可在恶意网页中注入JavaScript代码，将受害者的认证Token发送至攻击者控制的服务器项目详情漏洞编号CNVD-2026-13291（CVE-2026-24763）危害级别高危漏洞类型命令注入影响版本v2026.1.29之前版本修复版本v2026.1.29PoC

状态已公开在野利用存在潜在利用风险漏洞原理在Docker沙箱模式下构造容器内执行命令时，将用户可控的PATH环境变量未经转义直接拼接到shell命令字符串中。攻击者可构造特殊字符串，以OpenClaw进程权限在宿主机上执行任意命令项目详情漏洞编号CNVD-2026-13290（CVE-2026-25157）危害级别高危漏洞类型命令注入影响版本v2026.1.29之前版本修复版本v2026.1.29PoC

状态已公开在野利用存在潜在利用风险漏洞原理sshmodeCommand项目中，根路径与SSH目标字符串的解析存在缺陷。攻击者可构造特殊字符串，以OpenClaw进程权限在宿主机上执行任意命令项目详情漏洞编号CNVD-2026-13293（CVE-2026-25475）危害级别高危漏洞类型命令注入影响版本v2026.1.30之前版本修复版本v2026.1.30PoC

状态已公开在野利用存在潜在利用风险漏洞原理MEDIA路径解析函数未正确校验文件路径，攻击者可利用绝对路径、用户目录路径或目录穿越序列(如../)读取任意文件，并通过输出MEDIA:/path/to/file将敏感数据外泄至外部会话通道项目详情漏洞编号CNVD-2026-13294（CVE-2026-26322）危害级别高危漏洞类型服务端请求伪造（SSRF）影响版本v2026.2.14之前版本修复版本v2026.2.14PoC

状态待确认在野利用无公开利用记录漏洞原理OpenClawGateway的图片处理工具未校验gatewayUrl请求目标URL，攻击者可构造特殊图片URL，使服务器向内网地址或云元数据端点（如AWSEC2的54）发起请求，进而探测内网拓扑或窃取云服务凭据项目详情漏洞编号CNVD-2026-13295（CVE-2026-26329）危害级别高危漏洞类型路径穿越影响版本v2026.2.2之前版本修复版本v2026.2.2PoC

状态待确认在野利用无公开利用记录漏洞原理浏览器上传功能未对文件路径进行有效验证，攻击者可构造包含

../

的恶意路径，将文件写入宿主机文件系统的任意位置，通过写入Cron任务、Shell配置文件等方式实现持久化控制项目详情漏洞编号CNVD-2026-13292（CVE-2026-27001）危害级别中危漏洞类型日志投毒导致提示词注入影响版本v2026.2.13之前版本修复版本v2026.2.13PoC

状态研究人员已验证利用可行性在野利用无公开利用记录漏洞原理OpenClaw通过读取自身日志文件辅助故障排查，若攻击者将恶意指令写入日志（如通过集成的邮件、Slack消息等渠道），这些指令会被AIAgent读取并视为合法操作指令执行OpenClaw配置错误风险大量OpenClaw实例在公网暴露是与软件漏洞并行的另一类安全隐患，暴露原因包括以下三个方面因素：1.

默认配置不安全：OpenClaw默认绑定到（监听所有网络接口），而非（仅本地回环）；2.

用户安全意识不足：用户在安装OpenClaw时，在不知情的情况下，将AI代理暴露在互联网上；3.

缺乏安全指导：安装过程中缺乏明确的安全配置提示和警告。OpenClaw的历史默认配置存在多项严重安全缺陷，尽管部分已在新版本修正，但大量仍未更新的旧版本在线实例，依然面临严峻的攻击风险：配置项旧版默认值风险等级当前状态网关监听地址:18789（全网卡）极高新版默认配置localhost:18789认证关闭极高新版已默认启用WebSocketOrigin

校验关闭极高已修复Localhost

信任策略无条件信任极高部分修复密码失败速率限制无限制高已修复反向代理后的信任配置trustedProxies未配置高需手动配置凭据存储方式明文Markdown/JSON高架构性问题，彻底解决困难mDNS

广播开启（局域网可见）中泄露实例信息GuestMode

工具权限开放危险工具高部分修复典型错误配置场景及风险场景一：反向代理未配置trustedProxies部署在Nginx/Caddy后方的OpenClaw，若trustedProxies未正确配置，所有来自反向代理的请求都以到达网关，被视为可信本地连接。效果等同于对全互联网开放无认证访问。影响：攻击者无需密码，可通过反向代理直接访问控制界面、配置存储、凭据、会话历史。场景二：凭据明文存储OpenClaw将API密钥、密码、LLMProviderToken以明文形式存储于~/.openclaw/目录下的Markdown和JSON文件中。RedLine、Lumma等主流信息窃取木马已将OpenClaw的文件路径加入其默认采集列表。影响：任何能访问文件系统的恶意软件（包括ClawHub上的恶意技能）均可直接读取全部凭据。场景三：公开群组策略在公开群组中部署OpenClaw，任何群成员均可发送Prompt指令，触发工具调用、文件读取和配置变更，无需管理员审批。影响：群组成员可将OpenClaw用作跳板，进入具有更高权限的服务器。已确认的利用事件事件一：Shodan扫描暴露实例（2026年1月末）安全研究员JamiesonO'Reilly通过Shodan发现数百个无认证OpenClaw实例，经手动验证后，成功访问了多个实例的AnthropicAPI密钥、TelegramBotToken、SlackOAuth凭据和数月完整聊天记录，能以用户身份发送消息、以完整系统管理员权限执行命令。事件二：Moltbook数据库泄露（2026年2月）Wiz研究团队发现并披露，Moltbook（OpenClaw的配套AI社交网络）的Supabase数据库因RowLevelSecurity未启用，暴露约150万个API认证Token、35,000个电子邮件地址和4,000条私信。事件三：Vidar信息窃取木马感染（2026年2月25日）HudsonRock披露，一名用户的OpenClaw配置目录被Vidar变种信息窃取木马窃取，完整的Agent操作上下文及所有集成服务凭据被回传。OpenClaw技能生态与供应链风险ClawHub技能快速增长ClawHub作为OpenClaw的官方公共技能注册中心，其规模在短短数周内经历了爆发式增长：截至2026年3月9日，ClawHub共收录18,140个社区构建的技能。二月初技能注册表仅有约2,800个技能，2026年2月26日已飙升至超过10,700个，三周内增长约280%。GitHub上VoltAgent的awesome-openclaw-skills项目从13,729个原始技能中筛选出5,494个技能纳入推荐列表，排除6,940个未通过筛选的技能，排除比例约为50.5%。这种超高速增长远超传统软件包仓库的历史增长曲线，也加剧了安全审计和恶意内容筛查的难度。ClawHub面临的供应链安全风险较为严重。此平台的技能发布门槛极低，仅要求发布者拥有创建超过一周的GitHub账户即可完成上传，既无严格的身份核验机制，也未对技能代码开展前置审计，而用户出于对官方市场的天然信任，进一步放大了恶意技能流入生态并被广泛使用的风险。面对庞大的技能库，社区维护者已开始实施系统性的质量筛选工作：来源审计技能数发现恶意数恶意占比KoiSecurity（第一轮，2026-02初）2,85734112%KoiSecurity（第二轮，2026-03初）10,700820+~8%SnykToxicSkills3,9841,467（含缺陷）36.82%VirusTotal/OpenClaw3,016+314+—这种大规模的内容筛选实践揭示了一个令人警醒的现实：在一个开放且无门槛的技能发布平台上，低质量和恶意内容的比例超出了人们想象。ClawHavoc攻击活动ClawHavoc攻击活动在2026年2月爆发，是对ClawHub平台最大规模的供应链攻击。KoiSecurity团队在对2,857个技能进行安全审计时发现341个恶意技能中，有335个属于ClawHavoc攻击活动。攻击者采用了高度伪装的社会工程学策略下发多平台载荷，发布看似合法的技能如solana-wallet-tracker、youtube-summarize-pro等，通过详细的README文档与用户建立可信度，在README文档的“前置条件”部分，以安装依赖为名，要求用户执行恶意的安装命令，下载信息窃取木马。ClawHavoc攻击活动的一个显著特点是其伪装策略的多样性和针对性：1.加密货币用户：111个恶意技能伪装成Solana钱包工具、Phantom钱包工具、钱包追踪器等；2.预测市场用户：34个恶意技能以polymarket-trader、polymarket-pro等名称出现；3.YouTube内容创作者：57个恶意技能伪装成youtube-summarize、youtube-thumbnail-grabber、youtube-video-downloader等工具；4.开发者群体：28个恶意技能伪装成自动更新工具；5.普通用户：51个恶意技能伪装成金融与社交工具、17个伪装成GoogleWorkspace集成工具、15个伪装成EthereumGas追踪器、3个伪装成比特币找回工具。攻击的技术执行路径体现了对目标用户群体的精准理解：Windows系统攻击链：1.要求用户从GitHub仓库下载名为“openclaw-agent.zip”的加密压缩包；2.密码设置为“openclaw”以绕过自动化杀毒扫描；3.压缩包内包含带有键盘记录功能的木马程序；4.可捕获机器上的API密钥、凭证以及AI助手已获取的所有敏感数据。macOS系统攻击链：1.诱导用户复制glot.io托管的安装脚本并粘贴到终端执行；2.脚本包含混淆的shell命令，会从攻击者控制的基础设施获取后续载荷；3.联系IP地址0获取通用Mach-O二进制文件；4.该文件符合AtomicmacOSStealer（AMOS）的特征。ClawHavoc攻击活动背后的威胁行为者展现出了高度的组织化和自动化特征：1.域名抢注：29个技能使用clawhub、clawhub1、clawhubb等仿冒名称；2.虚假系统提示：在技能安装时通过显示虚假“苹果软件更新”提示，静默建立加密隧道；3.时间延迟攻击：恶意代码在安装后数小时或数天后才激活；4.批量生成：使用自动化工具和脚本批量生成、上传和命名恶意技能；5.账号农场：注册大量GitHub账号，每个账号使用时长超过一周以满足平台要求；6.快速扩散：单个上传者发布677个恶意包，此规模攻击模式在传统的开源软件供应链攻击中极为罕见；7.恶意.md技能文件：技能可以包含UI不可见的Mermaidmarkdown恶意指令，由于本地扫描器不扫描该类型文件，实现安全检测绕过；8.碎片化攻击载荷：将恶意代码分散在多个文件中，只有在特定条件下才会组合执行；9.环境感知攻击：恶意技能能够检测运行环境（开发/生产、操作系统类型等）并调整攻击行为。ClawHub上的恶意Skills攻击载荷呈现多样化演进趋势：1.外部恶意软件分发：技能安装指令包含恶意软件下载链接，常使用加密压缩包绕过安全检测；2.混淆数据外溢：通过base64、Unicode混淆命令，窃取用户凭证并发送至攻击者服务器；3.安全禁用与破坏性操作：诱导Agent关闭安全机制、修改系统配置或删除关键文件。为应对供应链风险，OpenClaw已与VirusTotal合作，对新上传的技能进行恶意代码扫描与LLM内容语义分析，并对技能包进行基础结构审查。ClawHub局限性体现在以下三方面：一是ClawHub作为公开注册的软件市场，缺乏足够人力开展逐包人工审核，自动化检测又难以覆盖所有恶意变种；二是恶意行为者可通过持续迭代规避手段，绕过平台检测能力；三是事后管控缺失。即使恶意技能被发现后从ClawHub下架，已安装该技能的用户设备仍会保留并运行恶意程序，难以实现批量清除。OpenClaw部署风险部署方式外网攻击内网攻击浏览器攻击风险等级直接绑定（旧默认）+无认证✅

完全访问✅

完全访问✅

完全访问极高公网+弱密码✅

暴力破解✅

完全访问✅

完全访问极高反向代理+trustedProxies未配置✅

绕过认证✅

完全访问✅

完全访问极高localhost仅本地+未打CNVD-2026-13289（CVE-2026-25253）补丁❌

无法直连❌

无法直连✅

浏览器劫持高localhost+已打补丁+强认证❌无法直连❌无法直连较低风险中隔离VPS+强认证+防火墙+Tailscale❌无法直连受限受限相对安全内外网攻击者的暴露面如OpenClaw实例直接暴露于公网且无认证或弱认证时，外网攻击者可访问：1.控制面板（ControlUI）：完整配置管理界面2.网关WebSocket端口（18789）：可直接发送指令给Agent3.明文存储的凭据：LLMProviderAPIKey、OAuthToken、消息App凭据4.完整聊天历史：Agent的所有历史交互记录5.已集成的外部服务：通过Agent身份访问邮件、消息、日历等在企业内网中，即使OpenClaw未暴露公网，已获得内网访问权限的入侵者或内部恶意人员可以：1.通过局域网直接访问无认证实例（旧版默认配置）2.利用mDNS广播自动发现所有内网OpenClaw实例（_openclaw-gw._tcp）3.以OpenClaw作为跳板，访问其已集成的企业内部服务（邮件、Slack、代码仓库），读取明文存储的服务账号凭据，横向扩展至更多系统。本地浏览器攻击即使OpenClaw仅监听localhost、从未暴露公网，如未修复CNVD-2026-13289（CVE-2026-25253）和ClawJacked漏洞，攻击者可通过以下路径发动攻击：1.攻击者部署或控制一个网站（钓鱼页面、投毒广告、水坑攻击均可）2.用户使用浏览器访问恶意网站，同时登录了OpenClawControlUI3.恶意网页中的JavaScript向localhost:18789发起WebSocket连接4.由于OpenClaw未验证WebSocketOrigin，连接被通过5.Token被窃取，攻击者通过受害者浏览器获得完整网关控制权典型攻击链分析攻击场景一：针对公网暴露实例的直接攻击前提条件：目标运行无认证或弱认证的OpenClaw，监听公网IP攻击场景二：针对localhost实例的浏览器劫持（CNVD-2026-13289，对应CVE-2026-25253）前提条件：目标运行旧版本的OpenClaw（<v2026.1.29），即使仅监听localhostOpenClaw加固建议OpenClaw可访问用户文件系统、执行Shell命令、调用各类第三方服务凭据，一旦被攻击者控制，会导致用户数字权限泄露。在企业环境中，单个被入侵实例可成为内网横向移动跳板，引发核心数据窃取、关键系统受控等严重安全事件；对个人用户来说，隐私信息存在被窃取的风险。对企业用户的建议紧急处置与基础防护1.漏洞闭环与凭据管理将所有OpenClaw升级至最新版本全面轮换关联凭证，包括LLMAPI密钥、消息应用Token、邮件OAuth等核查所有实例是否存在公网暴露情况，及时整改暴露风险2.网络层面防护强制网关仅监听:18789，禁用全网监听模式配置防火墙，拒绝18789端口的公网入向流量3.认证与权限管控启用密码认证，设置16位以上强密码定期轮换GatewayToken，避免静态凭证泄露风险启用短期配对码，替代静态Token用于身份验证为ControlUI配置独立浏览器Profile，防御跨站劫持攻击长效安全管控措施1.供应链与插件管理仅安装经官方审核的ClawHub技能定期清理来源可疑或长期闲置的插件新技能部署前，需在隔离环境完成代码审查和行为验证2.监控与审计机制监控18789端口的异常连接行为审计~/.openclaw/目录的访问记录，追踪异常操作监控mDNS广播，发现内网中未申报的OpenClaw实例3.企业政策与流程管控制定OpenClaw专项使用政策，明确使用规范与安全要求将OpenClaw纳入影子IT扫描范围，防止未授权部署开展员工安全意识培训，提升对相关风险的认知与防范能力将OpenClaw实例安装、插件部署纳入标准变更管理流程，规范审批与实施环节对个人用户的建议1.提升安全意识风险认知：充分认识OpenClaw的安全风险安全配置：按照安全最佳实践进行配置技能审查：谨慎选择安装的技能，审查技能代码权限管理：仅授予必要的权限，并定期审查权限设置2.强化安全实践环境隔离：建议在虚拟机或容器中使用OpenClaw敏感信息保护：避免让OpenClaw访问敏感信息行为监控：监控OpenClaw的网络连接和文件访问行为定期检查：定期检查系统是否有异常行为3.应急响应准备备份重要数据：定期备份重要数据隔离受感染系统：发现异常时立即隔离系统清除恶意文件：使用安全工具清除恶意技能或恶意程序更改受影响凭证：更改所有可能泄露的凭证结语AI智能体具有巨大的应用潜力和技术价值，但其面临的安全挑战也不容小觑。OpenClaw安全不仅是一个具体项目的问题，更是对整个AIAgent技术发展进程的一项重要警示：在享受自动化便利的同时，需清醒认识潜在风险；在追求技术创新的同时，需同步考虑安全治理。只有通过厂商、技术社区、企业用户、安全机构、研究人员和国家相关部门的共同努力，才能建起一个既能促进创新、又能保障安全的AI生态系统。参考链接官方与CVE数据库1.GitHubSecurityAdvisories（OpenClaw）:/openclaw/openclaw/security/advisories2.WizVulnerabilityDatabase:https://www.wiz.io/vulnerability-database/cve/cve-2026-25253漏洞研究与技术分析1.depthfirst-1-ClickRCEKillChain:/post/1-click-rce-to-steal-your-moltbot-data-and-keys2.OasisSecurity-ClawJacked:https://www.oasis.security/blog/openclaw-vulnerability3.Giskard-DataLeakage&PromptInjection:https://www.giskard.ai/knowledge/openclaw-security-vulnerabilities-include-data-leakage-and-prompt-injection-risks威胁情报与供应链分析1.TrendMicro-ClawHavoc/AMOS:/en_us/research/26/b/openclaw-skills-used-to-distribute-atomic-macos-stealer.html2.Snyk-ToxicSkills:https://snyk.io/blog/toxicskills-malicious-ai-agent-skills/3.HudsonRock-InfostealerviaTheHackerNews:/2026/02/infostealer-steals-openclaw-agent.html4.RepelloAI-ClawHavocCampaignAnalysis（引用自cyberdesserts）:/openclaw-malicious-skills-security/互联网暴露面扫描报告1.Bitsight-30,000+ExposedInstances:/blog/openclaw-security-risks-exposed-instances2.InfosecurityMagazine-40,000+ExposedInstances:/news/researchers-40000-exposed-openclaw/3.SecurityScorecardSTRIKETeam（引用自BarrackAI）:https://blog.barrack.ai/openclaw-security-vulnerabilities-2026/4.Conscia-Multi-VectorSecurityCrisis:/blog/the-openclaw-security-crisis/综合分析与评述1.DarkReading-CriticalOpenClawVulnerability:/application-security/critical-openclaw-vulnerability-ai-agent-risks2.TheHackerNews-OpenClawBugEnablesOne-Click