OpenClaw 作为 2026 年最热门的开源 AI Agent 平台之一,以其强大的自主执行能力和丰富的 Skills 生态系统迅速走红。然而,随着其爆发式增长,安全问题也日益凸显。
核心安全风险
根据 Bitsight 研究,超过 135,000 个 OpenClaw 实例暴露在公网,其中 50,000+ 存在已知 RCE 漏洞。
Skills 供应链风险
约 15% 的社区 Skills 包含恶意指令,700+ 社区技能缺乏正式安全审查。
已披露漏洞
- CVE-2026-25253: 远程代码执行
- SSRF: 服务端请求伪造
- 认证缺失
防护建议
- 网络隔离:不要直接暴露在公网
- Skills 白名单:只启用审核过的技能
- 命令执行限制:配置允许/禁止命令列表
- 使用 SecureClaw 安全工具
