2026年,OpenClaw 的安装教程已经烂大街了。但大多数教程止步于"能跑",对之后发生的事情只字不提。
这篇文章不教你装 OpenClaw,只说一件事:装完之后,你可能正在一个巨大的安全漏洞里裸奔。
这不是危言耸听。以下所有数据均有据可查。
01丨 三个真实漏洞,三组真实数
漏洞一:你的 OpenClaw 正在被人暴力破解
CVE-2026-25253,CVSS 评分 8.8(高危)。
OpenClaw 的控制台默认运行在本地 18789 端口,有密码保护。但问题是:这个端口对来自 localhost 的连接没有请求频率限制,也不记录失败的登录尝试。
攻击过程如下:
攻击者在网页里嵌入一段 JavaScript。用户打开这个页面后,代码开始对你的本地 OpenClaw 密码进行暴力破解。
实测数据:平均 98 秒完成破解,有时仅需几百毫秒。
破解之后会发生什么?攻击者注册为可信设备,读取邮件、Slack 消息,执行系统命令,偷走所有连接服务的凭证。整个过程用户完全不知情。
更让人后背发凉的是:安全研究人员扫描发现,4 万多个 OpenClaw 实例直接暴露在公网上,其中93% 存在关键认证绕过问题。
漏洞二:你安装的插件可能在偷你的密钥
ClawHavoc 事件,2026 年 2 月,OpenClaw 官方技能市场 ClawHub。
官方技能市场上传门槛极低。安全审计显示,36.82% 的 ClawHub 技能存在可被利用的安全缺陷。安全研究人员发现了341 个恶意技能包,包含键盘记录器、凭证窃取器等恶意代码。
更离谱的是:被官方下架的恶意技能中,有 34% 换个名字又重新上架,继续有人中招。
在默认配置下,OpenClaw 甚至可以自动安装技能,不经用户确认。这相当于有人在你不知情的情况下,给你的系统装了一个后门。
漏洞三:91.3%的注入攻击可以成功
这是最容易被忽视、但影响最广的一类攻击:提示词注入。
针对没有任何防护的 OpenClaw 实例,91.3% 的直接注入攻击可以成功。攻击方式很简单:一封看似正常的邮件,附带恶意指令,让 AI 把密码文件发给攻击者。
间接注入的成功率稍低,但也达到了84.6%。攻击者把恶意指令藏在网页、文件或社交媒体帖子里,当用户让 AI 分析这些内容时,攻击自动触发。
02 丨为什么这些问题迟迟得不到解决?
安全研究人员对 Cisco 的评价很直接:"功能方面是突破性的,但从安全方面看是噩梦。"
Gartner 的判断是:"风险不能接受。"
这些评价并非针对 OpenClaw 本身。OpenClaw 是一个活跃的开源项目,开发者正在持续修复漏洞。问题在于:
大多数用户在生产环境里用的是 DIY 方案——树莓派、Mac Mini、家用服务器。这些设备从一开始就不是为"7×24 小时暴露在网络上"设计的。
没有工业接口,RS232/RS485/GPIO 全靠外接扩展板
没有专门的运行环境,OpenClaw 和个人数据混在一起
没有稳定的电源管理和散热,凌晨高频崩溃
没有工业级硬件可靠性认证,工厂车间根本进不去
换句话说:OpenClaw 的安全性问题,有一半是软件层面的漏洞,有一半是硬件层面的不适当部署。