近期，监测发现 OpenClaw（曾用名 ClawdBot）开源执行型智能体系统存在多项可被实际利用的高危安全漏洞及原生设计安全缺陷，其中 CVE-2026-25253 漏洞可直接导致远程代码执行，提示注入、提示抽取攻击成功率极高。该智能体依托大语言模型实现任务自动规划与工具调用，可直接操作本地命令行、文件系统、网络接口等，其安全风险已从普通内容安全升级为系统级、全链路安全威胁，攻击者可通过多种方式利用该系统实施网络攻击。

一、OpenClaw 智能体系统核心安全风险

OpenClaw 智能体系统因存在输入可信度混淆、工具权限过宽、多步执行不可解释、安全边界设计缺陷等问题，衍生出高危安全风险，且攻击门槛低、传播快、难检测，已具备现实攻击条件，具体风险如下：

1. 提示词注入风险：攻击者可在网页、文档、邮件等内容中隐藏恶意自然语言指令，诱导系统将其误判为合法任务指令并执行，进而触发文件读取、外发、恶意命令执行等操作，该攻击不依赖传统漏洞，利用模型上下文解释缺陷即可实现，防范难度大。

2. 系统提示词泄露与安全边界绕过风险：系统易被诱导泄露定义安全边界的核心系统提示词、内部配置、工具权限清单等信息，攻击者可据此针对性设计绕过策略，突破系统禁止执行危险命令、禁止泄露敏感信息等安全限制。

3. 远程控制与身份凭证泄露风险：因控制界面对 URL 参数缺乏校验，攻击者可构造恶意链接诱导用户点击，窃取认证 Token、API Key、SSH 密钥、OAuth 授权凭证等核心身份凭证，进而伪装合法用户实现远程代码执行，甚至窃取主密钥获取管理员权限，直接接管整个系统。

4. 工具调用越权与任意代码执行风险：系统可直接调用 shell/exec、文件系统、HTTP 等工具接口，攻击者可通过提示注入诱导工具链组合攻击，利用合法工具接口完成 “读取敏感凭证 - 打包编码 - 远程外发” 等完整攻击链路，传统安全防护手段难以识别判定。

5. 多步任务链路失控与错误放大风险：系统采用 “推理 - 执行 - 再推理” 的多轮迭代运行机制，一次错误假设会导致后续步骤持续偏离，甚至触发模型尝试 sudo 提权、修改系统权限、删除重装软件等激进操作，还可能为完成任务跳过安全确认步骤，单步看似合理的操作叠加后会造成不可控的系统破坏。

6. 记忆投毒与上下文污染风险：系统的记忆机制和向量检索功能易被攻击者利用，通过多轮对话将恶意规则写入长期记忆或向量数据库，形成 “软后门”，未来执行正常任务时会自动触发恶意操作，且该攻击跨会话存在、难以追溯来源和清除，具有长期持续性危害。

7. 供应链与插件生态风险：系统依赖的插件、技能包、第三方依赖组件缺乏严格的安全校验机制，攻击者可通过发布恶意技能包、篡改依赖库、在插件中植入隐藏指令、利用更新机制传播恶意代码等方式实施供应链投毒，恶意插件加载后可直接借助系统高权限执行任意操作，危害远超传统软件供应链攻击。

上述风险可单独或组合利用，引发数据泄露、系统被控制、后门植入、横向移动攻击等后果，还可能导致业务配置被篡改、关键文件被删除、服务中断，同时因未经授权访问和外发敏感数据引发合规与法律风险，事故后若缺乏审计留痕机制，还将面临责任界定难、追溯难的问题。

二、严格落实针对性安全防护措施

针对 OpenClaw 智能体系统的原生安全缺陷和高危漏洞，需按照最小权限、严格隔离、全流程管控原则，落实以下防护措施：

（一）严控网络暴露面，强化访问隔离

1. 严禁将 OpenClaw 管理端口、网关服务直接暴露在公网，核心业务设备、存有敏感数据的设备禁止部署该系统；

2. 已部署的立即关闭不必要的公网访问端口，可以通过 VPN、堡垒机、零信任网络实现管理控制台的远程访问管控；

3. 在 WebSocket 层启用严格的 Origin/Referer 来源校验和 TLS 加密保护，防范跨站连接、会话劫持和恶意网关连接。

（二）强化凭证管理，落实最小权限授权

1. 将 Token、API Key、SSH 密钥、主密钥等核心凭证列为最高等级敏感资产，采用加密方式存储，建立定期轮换机制，严禁在 URL 参数、日志、明文文件中传递和保存；

2. 对外部服务访问采用短期凭证 + 范围受限授权模式，禁止授予全权限凭证，实现访问权限的最小化配置；

3. 核查是否存在凭证泄露风险，对疑似泄露的凭证第一时间作废并更换。

（三）严控工具调用权限，建立分级审批机制

1. 默认关闭 shell/exec、系统权限修改等高危工具接口，确需使用的需启用人工确认审批流程，并保留完整操作记录；

2. 对文件系统访问设置白名单目录，仅允许访问业务必需目录，禁止访问系统根目录、配置目录、敏感凭证存储目录；

3. 对 HTTP 网络访问设置域名、IP 白名单，禁止访问内网网段、云元数据地址、境外不明服务器等高危目标；

4. 建立工具调用全流程审计日志，对所有工具操作进行记录，实现操作可追溯、可核查。

（四）防范提示注入，实现输入分层与可信度标记

1. 在系统层面严格区分用户原生指令和外部来源内容（网页、文档、API 返回、邮件等），将外部内容设置为只读模式，降低其在模型推理中的优先级，明确约束模型不得将外部内容视为可执行指令；

2. 对所有外部来源内容进行前置扫描，过滤疑似恶意提示词，防范隐藏指令注入；

3. 禁用系统 “自动执行外部内容提取指令” 功能，所有从外部内容中提取的操作需求，需经人工校验后再执行。

（五）加强记忆与向量检索安全，防范长期投毒

1. 若启用记忆机制和向量检索功能，严禁系统记忆和存储密钥、Token、个人隐私、企业敏感数据等信息；

2. 建立记忆内容审计、回滚、清除机制，定期核查长期记忆和向量数据库，及时清理异常规则和恶意内容；

（六）严格管控供应链与插件生态，防范投毒风险

1. 严禁安装、使用未知来源、无签名校验的插件和第三方依赖组件；

2. 对系统依赖库进行版本锁定，定期开展 SCA（软件成分分析）扫描，及时发现并修复依赖库中的安全漏洞；

3. 禁用系统 “自动安装、自动更新第三方组件” 功能，所有插件、依赖的安装和更新需经安全审查和人工确认；

4. 启用插件、依赖组件签名校验机制，防止恶意组件被加载。

（七）完善安全机制，及时开展漏洞修复

1. 密切关注 OpenClaw 官方发布的安全补丁、漏洞修复方案和加固指南，第一时间完成补丁安装和系统加固，重点修复 CVE-2026-25253 远程代码执行漏洞；

2. 为系统部署多重身份认证机制，强化管理员账户安全，防止账户被破解、盗用；

3. 建立系统运行全流程审计机制，对任务规划、工具调用、数据访问、外部连接等所有行为进行记录，日志保存时间不少于 6 个月。