OpenClaw智能体架构安全性实测与治理剖析

近期开源智能体框架OpenClaw爆火，全民装“虾”热潮代表着AI已实质性地从“对话助手”升级为具备外部资源访问与本地执行能力的“数字员工”。然而，近期国家互联网应急中心等多家权威安全机构频繁发布OpenClaw高危漏洞和风险警示，智能体安全防线已打破了传统网络安全的固有边界，其风险隐患不再是孤立的单点问题，而是存在于其高度自治的系统架构与复杂的链路流转过程之中。

为此，在集团网络与信息安全管理部的指导下，中国移动人工智能安全治理研究中心对OpenClaw典型运行链路中的安全风险进行了实验室验证。通过对OpenClaw典型运行链路中的安全风险进行实验室验证，发现OpenClaw的安全问题是由多环节相互耦合形成的组合型风险。其中，引入不可控互联网资源的风险与敏感信息泄露风险已成为当前最突出的两大风险敞口。本文将基于实测数据，系统解构OpenClaw的核心风险链路，针对性地提出智能体安全治理建议并开展治理实践探索，以期为后续的安全架构重塑与防护策略落地，提供可参考的技术支撑。

基于典型运行链路的实测环境构建

本次评估对象为OpenClaw（版本号：2026.2.9），从其实际运行视角出发，围绕“用户输入—模型推理—工具调用—外部资源访问—本地执行”这一完整链路，构建贴合业务场景的实测环境。评估环境如图1所示，主要包括：

图1.OpenClaw评估环境示意图

1.用户交互侧：模拟通过飞书等聊天软件渠道向OpenClaw发起任务请求。

2.模型服务侧：分别接入本地部署开源模型（Ollama-gpt-oss-20b）与外部商用大模型服务（Qwen 3.5-Plus），用于对比不同底座能力下的安全表现。

3.外部资源测：用于模拟网页抓取、第三方Skill安装、外部链接访问等典型资源引入场景。

4.本地执行与管理侧：OpenClaw Gateway网关与工作区，用于观察OpenClaw在文件访问、命令执行、配置调用和接口暴露条件下的行为表现。

为保证评估结论具有针对性，本次评估均在上述统一环境框架下按风险路径逐项开展，并重点关注以下要素对风险传播的影响：

模型调用边界：评估大模型调用链路是否具备充分的安全保护；

外部资源边界：针对引入的第三方插件，是否做到了来源约束与执行隔离；

数据交互边界：聊天软件等交互链路中，是否存在敏感信息的泄露盲区；

基础环境边界：管理接口与运行环境，是否守住了传统安全底线。

核心风险路径的实测与深度剖析

基于上述链路，梳理了OpenClaw在典型应用场景下的五类核心风险传播路径，并获取了翔实的实测表现：

1.引入不可控互联网资源的风险：被放大的“物理伤害”

引入互联网资源是OpenClaw实现外部感知、任务扩展和工具调用的重要途径，但也显著放大了系统在供应链与输入面的攻击敞口，恶意内容不再只是“被读取的脏数据”，而是可进一步穿透到执行层面，产生实质性的不良影响。

skill投毒实测：团队构造了一个名为ai-news的恶意Skill，并在其中植入了具备后门下载与指令拉取能力的恶意代码。测试发现，OpenClaw在安装该测试Skill后，未对其进行代码审查及来源审查，触发相关Skill执行流程后，直接执行了隐含的恶意代码，未受到任何权限约束及执行隔离。这表明，隐含恶意代码的第三方Skill在缺乏必要安全配置时可成为直接击穿本地执行面的高危入口。

提示词注入实测：团队构造了隐含恶意提示词的测试HTML页面，试图诱导OpenClaw在抓取页面信息时，静默执行外发本机IP的指令。实测显示，OpenClaw在执行读取测试HTML页面的任务后，未触发安全拦截，直接执行了注入在页面中的恶意指令，将本机的IP信息成功回传至攻击者后端。这意味着，若缺乏对高风险提示词的识别能力，外部资源的不可控性将导致OpenClaw成为攻击者的隐形跳板。

2.敏感信息泄露风险：隐秘的底层“裸奔”

OpenClaw的任务执行高度依赖用户输入、上下文拼接、消息转发和模型调用，敏感信息一旦进入OpenClaw任务链路，就可能在聊天入口、内部网关和模型推理过程中被转发、处理或存储。

模型侧敏感泄露实测：团队在向OpenClaw发送API-Key临时存储请求时，前端交互界面迅速给出安全警告并拒绝处理。然而，通过抓包分析发现，在本地部署的Ollama模型通信链路中，依然能完整提取出用户提交的明文敏感内容，说明“界面拒绝”并不等于“敏感信息未外发”，系统在调用模型前，严重缺乏前置的数据阻断与脱敏机制。

图2.前端界面显示模型拒绝处理此敏感信息

图3.OpenClaw与模型通信抓包结果

聊天侧敏感泄露实测：进一步对流量抓包后发现，即便聊天界面已提示并要求用户撤回敏感信息，但在智能体进行“代理思考”和“整理上下文”时，真实的API-Key信息已经顺着内部网关进入了消息流转链路。这意味着，系统对敏感数据的安全处置仅停留在前端交互层。在缺乏严格链路隔离的情况下，聊天软件服务商、内部消息总线及网关组件均可能接触到完整的明文会话内容，从而极大地放大了数据泄露的风险敞口。

图4.OpenClaw与聊天软件通信抓包结果

3.误用与恶意诱导利用风险：披着业务外衣的越权

OpenClaw将用户输入转化为具体操作步骤，若缺乏足够的意图识别、权限约束和场景校验机制，普通误操作极易演变为非预期的破坏，而伪装过的恶意请求更能轻易绕过防御，触发高危调用。

用户误用实测：测试表明，OpenClaw能有效拦截sudo id 或读取/etc/shadow等显性高危指令；但在面对“删除 /etc/test.txt”等看似普通的日常运维指令时，系统未作任何前置风险提示便直接尝试删除，最终仅因宿主机权限不足未能成功执行。这表明，系统虽然对显性危险指令有基础防护，但对表面看似普通、实质具有破坏性的操作严重缺乏前置风险判断与后果感知。

恶意诱导利用实测：攻击者常将高风险意图包装为合理的业务需求以绕过安全机制。测试中，团队将读取敏感配置的操作，包装为常规诊断任务下发。面对这次测试请求，OpenClaw未能识破其越权意图，直接执行了针对敏感配置文件的查找及读取操作，并将包含敏感信息明文输出到聊天界面中。这说明在复杂交互场景下，系统极易将“完成任务”凌驾于“数据保护”之上，对社会工程学诱导和语义伪装抵御能力不足。

4.大模型幻觉穿透风险：当错误认知变为实际动作

大模型是OpenClaw实现智能决策和任务执行编排的“大脑”，其事实核验与逻辑判断的准确度，会直接决定系统行为的安全性。这也使得模型幻觉的影响不再停留在聊天框中的“回答错误”，而是会转化为真实的错误决策。

错误推理的执行放大实测：团队向OpenClaw下发了下载并总结某篇“虚构且不存在的论文”的任务。测试表明，不同模型底座表现差异巨大：Qwen模型表现出较强的异常识别能力，直接回复拒绝；而本地Ollama模型未能核实目标对象异常，不仅盲目执行了下载动作并生成了错误的PDF，还在本地生成了包含虚假摘要的txt文件。这表明，大模型的事实认知能力直接决定了OpenClaw执行任务的可靠性。在高度自治的架构中，大模型的安全下限，决定了智能体的安全上限；模型选择本身就是构建OpenClaw安全防线的核心一环。

图5.Qwen（左）与Ollama（右）对同一任务的不同表现

5.传统网络安全基线风险：被忽视的基础设施漏洞

管理配置决定了OpenClaw的权限边界、暴露范围和运行策略，操作系统及宿主环境则承载其本地执行能力。因此，传统安全基线仍然应是OpenClaw在基础设施层面必须坚守的安全底线。

管理与服务接口实测：团队对OpenClaw管理接口、对外开放端口进行了传统安全测试，重点验证认证机制、接口暴露、未授权访问及潜在命令执行风险。测试表明，OpenClaw控制界面存在认证缺陷与未授权访问风险，默认端口易暴露。这表明，无须通过复杂的自然语言诱导，攻击者仅凭常规的网络探测即可绕过上层复杂的业务防护逻辑，实施恶意行为。

智能体安全治理的演进方向

本次评估结果表明，OpenClaw所代表的智能体系统，并非只是将传统大模型能力封装为新的交互入口，而是在安全层面引入了更强的执行性、传播性和耦合性。传统的安全认知，正在被“可推理、可调用、可执行”的智能体架构重新塑造。从安全影响看，OpenClaw类的智能体系统至少带来了以下三类具有代表性的放大效应：

1.供应链攻击能力被放大：风险形态从传统需要用户点击的“互联网内容风险”，升级为可被OpenClaw这类智能体系统自动解析、调用甚至直接进入本地执行链路的“攻击指令风险”。

2.传播链路被放大：敏感信息或异常意图不再局限于传统应用的单一系统边界，而是沿多条链路（聊天软件入口、内部网关、模型推理、宿主环境）同步流动、叠加放大，单点问题极易演化为跨组件、跨边界的系统性风险。

3.攻击链条被放大：智能体系统强大的模型推理和工具调用能力，可能帮助攻击者将传统的攻击步骤压缩进一条连续的任务链中，形成极短的自动化闭环，大幅提升了攻击效率。

尽管OpenClaw项目团队具备一定漏洞响应效率，但实践表明，单纯依赖版本升级与补丁修复，无法替代严谨的安全架构设计。若默认部署架构、外部资源治理、敏感数据边界及高风险执行约束未能同步重构，安全问题仍将反复出现。面对智能体带来的复合型威胁，安全治理需摒弃“头痛医头，脚痛医脚”的应急思维，以系统性视角重塑安全架构。因此，企业在管控此类应用时，建议重点守好四道核心关卡。

1.管住AI的“手脚”（收敛默认权限）：对于智能体能访问哪些外部网页、能安装什么第三方插件、能调用哪些工具，应当“按需放行”，从源头掐断黑客的武器库。

2.建好内部的“隔离墙”（重构信任边界）：对聊天软件入口、模型推理、内部网关和本地执行环境之间，应设置逻辑隔离带，切断风险“交叉感染”的内部通道。

3.给敏感数据戴上“面具”（全链路数据防护）：应在用户输入、网络传输、大模型思考和结果输出的全链条中，建立一致的最小暴露原则，确保数据安全。

4.设立常态化的“安检站”（持续安全运营）：应将智能体版本升级、公告跟踪、扩展生态审查和运行期监测，实现风险的实时察觉与动态清零。

面向类OpenClaw智能体的安全治理实践

基于本次深度实测经验，围绕环境安全监测、意图安全监测、运行时监控三方面，中国移动研发了面向类OpenClaw智能体的安全监测工具，覆盖智能体从部署到运行的全周期。

在环境安全检测方面，针对智能体上线前或部署后的阶段，全面核查其基础安全配置，并对第三方skill等供应链生态进行安全扫描及核查，防范因传统网络基线薄弱和不可控互联网资源引入造成的风险。

在意图安全检测方面，针对大模型根据用户指令输出的任务决策，进行精准的恶意意图识别与拦截，防范恶意诱导利用，及时阻断由模型幻觉引发的错误执行动作。

在运行时监控方面，在智能体运行链路中构建动态监控机制，针对运行期间发生的非预期高危命令调用、敏感文件读取、异常网络外联等行为进行实时检测与告警。

通过此类常态化监测工具的介入，未来的智能体应用将有望在保障高效自动化的同时，真正做到系统运行可见、核心风险可管、复杂链路可控。

审核：杨凯 | 安全技术研究所（中国移动人工智能安全治理研究中心）

作者：陈磊、林建宇、张心语 | 安全技术研究所（中国移动人工智能安全治理研究中心）

江为强 | 集团网络与信息安全管理部

声明：本文来自中移智库，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。