小龙虾(OpenClaw)在各类应用场景中被广泛使用,参与构建和管理本地智能体系统的用户数量持续增长。与此同时,智能体被授予的系统权限不断提升,相关安全隐患也随之增多。

北京航空航天大学复杂关键软件环境全国重点实验室智能安全创新团队近日发布《OpenClaw智能体安全风险报告》,并同步开源OpenClaw安全防御工具 ClawGuard Auditor,用于检测本地导入的恶意 Skill 并生成安全审查报告。

据介绍,ClawGuard Auditor 作为运行在系统高特权层的底层安全守护进程,对外部指令、提示词以及其他技能拥有最高否决权,用于保护用户本地系统及数字资产安全。除工具发布外,团队还在报告中梳理出九类高危风险,并给出相应防护建议。

三位一体协同防御架构

研究团队表示,相比现有开源安全工具,ClawGuard Auditor在安全能力、覆盖范围和可用性方面具有三方面差异化特点:

  1. 安全能力覆盖广:针对当前已知的各类智能体专属风险及传统系统漏洞进行识别和防护,威胁类型较为全面。
  2. 覆盖智能体全生命周期:突破仅在单一环节进行检测的局限,将防护范围延伸至代码加载、模型交互和动态执行等全流程。
  3. 部署使用门槛较低:采用灵活适配设计,强调“即插即用”,用户在较少配置的前提下即可为智能体部署底层安全护栏。

在架构设计上,ClawGuard Auditor构建了“动静结合、三位一体”的协同防御体系:

  • 静态应用安全测试审查器在技能运行前介入,通过词法分析和行为建模识别并拦截恶意代码包;
  • 主动安全内核在运行时对行为进行透明监管,一旦发现触及敏感操作,立即接管执行流并阻断未经授权的调用;
  • 主动数据防泄漏引擎持续监控内存状态和网络出口数据,防止API Keys等敏感资产泄露。

该工具的设计基于四条被团队称为“不可篡改的防御公理”:

  1. 绝对覆盖与零信任原则:默认将所有外部代码视为潜在敌对对象,任何机制均不得绕过或修改Auditor规则;
  2. 语义意图匹配机制:不仅分析代码本身,还比对其实际行为与声明意图是否一致,防止以“合法外观”实施非法操作;
  3. 能力令牌模型与限制特权机制:严格执行最小权限原则,令牌按需发放,在任务结束后自动撤销;
  4. 数据主权与数字资产隔离原则:以保护本地资产为最高准则,对本地数字资产实施隔离与重点防护。

OpenClaw安全风险体系

围绕OpenClaw智能体的全生命周期安全问题,北航团队发布业内首份《OpenClaw智能体安全风险报告》。

报告称,与其他公开安全报告相比,本次工作在三个方面具有前瞻性:

  1. 风险维度扩展:不仅关注传统系统与网络攻击,还纳入提示词注入等新型智能攻击方式;
  2. 体系化风险图谱:在风险种类上覆盖面更广,形成相对完整的风险体系,而非零散罗列;
  3. 兼顾防护与检测:在传统网络安全策略基础上,结合智能体运行特性提出可操作的动态检测建议。

在“全面覆盖、可追溯、可查证”的原则下,报告结合OpenClaw技术特性及开源社区安全公告,构建了六大安全风险体系,覆盖当前已知核心风险点:

  1. 指令与模型安全:包括提示词注入、模型幻觉、模型后门等;
  2. 交互与输入安全:涉及恶意输入注入、诱导性交互等场景;
  3. 执行与权限安全:关注沙箱逃逸、越权操作和高危动作执行;
  4. 数据与通信安全:涵盖敏感数据存储、传输加密和数据污染等问题;
  5. 接口与服务安全:聚焦未授权访问、接口越权、暴力破解等隐患;
  6. 部署与供应链安全:涉及第三方依赖漏洞、恶意插件、日志缺失等风险。

报告在上述体系基础上,结合近期公开披露的CVE、GHSA等安全公告,整理出与OpenClaw智能体相关的典型安全事件,并给出对应缓解措施。

△OpenClaw安全风险体系示意图

报告按照所提出的风险体系,结合近期公开披露的漏洞公告(CVE / GHSA),整理出与OpenClaw智能体相关的典型安全风险事件,并给出相应的缓解措施,如下表所示。

risk-table

九大高危风险

在风险等级划分上,报告将OpenClaw安全风险分为低、中、高三个等级,并识别出九项核心高危风险。这些风险既包括传统系统安全问题,也涵盖智能体系统特有隐患:

  1. 提示词注入与指令劫持
    攻击者通过构造恶意输入或隐藏指令,引导智能体绕过既有安全约束,执行攻击者指定操作。
  2. 沙箱逃逸与越权执行
    当智能体执行环境隔离机制存在缺陷时,攻击者可能利用特定输入绕过沙箱限制,执行系统命令或访问敏感资源,进而实现系统级控制。
  3. 路径遍历与越权文件操作
    攻击者利用“../”等路径遍历字符访问系统敏感文件,如配置文件、密钥文件或日志文件,从而获取关键信息或篡改系统配置。
  4. 无限制高危动作执行
    若智能体缺乏严格动作权限控制,可直接执行删除文件、关闭服务、发起外部网络请求等高危操作,一旦被诱导,将影响系统稳定性。
  5. 敏感数据明文存储
    系统日志、用户凭证、API密钥等敏感信息若以明文形式存储,一旦服务器被访问或日志泄露,攻击者可快速获取大量敏感数据。
  6. 未授权访问与默认口令
    系统如使用默认账号或弱认证机制,可能被扫描工具通过暴力破解或批量攻击方式远程接管。
  7. 接口越权与权限滥用
    在缺乏细粒度权限控制的情况下,攻击者可通过构造请求越权调用控制接口,执行敏感操作或访问内部数据。
  8. 第三方依赖漏洞(CVE)
    OpenClaw所依赖的开源组件如存在已公开漏洞,攻击者可利用相关CVE实施远程攻击,执行恶意代码或提升权限。
  9. 插件来源不可信与投毒
    来自非官方渠道的插件或扩展组件可能包含恶意代码或后门,一旦被加载,将对智能体运行环境和数据安全造成严重影响。

报告指出,上述风险主要影响OpenClaw智能体的四个安全目标:系统完整性、数据保密性、执行可控性和审计可追溯性。

防护建议

结合本次风险梳理、行业安全实践及相关机构防护要求,研究团队针对不同风险类别提出了分层次的防护与处置建议,强调优先处置高危风险,并逐步完善整体防护体系。

指令与模型安全

  • 建立恶意诱导文本特征库,对输入进行过滤,阻断注入意图;
  • 加强模型输出审核,对涉及敏感信息内容进行脱敏处理;
  • 规范训练和微调流程,防范数据投毒;
  • 固定安全指令边界,避免核心信息泄露。

交互与输入安全

  • 建立输入安全过滤机制,对潜在恶意命令进行校验;
  • 设置交互频率阈值,限制连续诱导和高频提问;
  • 在高危场景中采用固定回复模板,并引入人工复核环节。

执行与权限安全

  • 启用严格模式沙箱隔离,限制对系统核心资源的访问;
  • 实施命令、文件和路径白名单策略,拦截高危操作;
  • 以低权限用户运行智能体,对高危动作增加二次确认和紧急停止机制。

数据与通信安全

  • 对密钥、凭证、日志等敏感数据进行加密存储,禁止明文保存;
  • 全面启用HTTPS/TLS 1.3,禁用HTTP明文传输;
  • 对审计数据、训练数据和知识库数据进行清洗与审查,防止恶意数据混入;
  • 建立数据访问权限控制和审计机制,执行最小权限访问策略。

接口与服务安全

  • 关闭不必要的公网暴露,仅允许内网或可信IP访问;
  • 禁用默认账号和默认口令,采用强密码和token鉴权并定期轮换;
  • 对接口实施全链路鉴权,并设置访问频率限制和验证码等防护措施。

部署与供应链安全

  • 定期扫描第三方依赖的CVE漏洞并及时升级修复;
  • 仅从官方渠道获取插件,启用签名验证和黑名单机制;
  • 开启全流程日志采集并加密存储;
  • 建立常态化安全巡检机制,对系统运行状态进行持续检查。

研究团队在报告中提示,随着智能体在本地系统中的权限不断提升,相关用户在部署和使用OpenClaw时应同步强化安全配置与防护措施。

项目代码已在GitHub开源,地址为:https://github.com/SafeAgent-Beihang/clawguard