北航團隊為龍蝦安全緊急開刀！開源OpenClaw風險防御工具

ClawGuard Auditor團隊 投稿
量子位 | 公眾號 QbitAI

小龍蝦越用越火，養蝦er也越來越多。

可是給AI開的權限太高，安全風險也隨之攀升。

北航復雜關鍵軟件環境全國重點實驗室智能安全創新團隊出手，正式發布了全網最系統的安全報告。

并同步開源了OpenClaw安全防御工具ClawGuard Auditor

能成功檢測本地導入的惡意Skill并輸出安全審查報告：

ClawGuard Auditor錨定于系統最高特權層運行的底層安全守護進程。

對所有的外部指令、提示詞乃至其他技能都擁有最高否決權，全方位保障用戶本地系統資產的安全。

除此之外，安全報告還梳理出九大高危風險，附帶防護建議，一起來看看。

動靜結合，三位一體協同防御

先說ClawGuard Auditor，相較于現有的開源安全工具，它具備三大核心差異化優勢：

1）安全能力全面： 精準涵蓋當前已知主流各類智能體專屬風險與傳統漏洞，威脅防護種類較為全面。

2）覆蓋全生命周期： 突破傳統工具僅具備單一檢測手段的局限，實現從代碼加載、模型交互到動態執行的全生命周期守護。

3）較高的可用性： 采用靈活適配的設計理念，盡可能的即插即用，用戶無需繁瑣配置即可快速為智能體部署底層護欄。

ClawGuard Auditor構建起一套動靜結合、三位一體的協同防御架構。

其中，靜態應用安全測試審查器會在技能運行前完成接入，借助詞法分析和行為建模技術，精準攔截惡意代碼包的入侵；

主動安全內核則實現運行時的透明監管，一旦檢測到行為觸及敏感操作，便會立即接管執行流，阻斷未經授權的調用行為；

主動數據防泄漏引擎則全程監控內存狀態與網絡出口數據，嚴格保障API Keys等敏感資產不外泄。

其核心原理依托于四大不可被篡改的防御公理，所有行為判定均以此為根本依據展開。

一是絕對覆蓋與零信任原則，將所有外部代碼默認視為具有敵意，任何機制都無法繞過或修改 Auditor 的規則；

二是語義意圖匹配機制，不再局限于單純的代碼分析，而是深入評估代碼的實際行為與聲明意圖是否一致，從而杜絕 “披著合法外衣執行非法行為” 的情況；

三是能力令牌模型與限制特權機制，嚴格強制執行最小權限原則，令牌采用隨用隨發的模式，在對應任務結束后便自動撤銷；

四是數據主權與數字資產隔離原則，將守護本地資產不受侵犯作為最高準則，全方位保障本地數字資產的安全。

OpenClaw風險體系

針對OpenClaw智能體全生命周期安全風險，研究團隊發布業內首個《OpenClaw智能體安全風險報告》。

相較于行業內其他的公開安全報告，本報告具有三大顯著的前瞻性優勢：

1）安全風險多維擴展：不僅局限于傳統的系統與網絡攻擊，更深度涵蓋了提示詞注入等前沿的智能攻擊風險；

2）風險體系完整閉環： 風險種類覆蓋面廣，告別碎片化羅列，為智能體構建了成體系化的風險圖譜；

3）防護與檢測并重： 不僅提供傳統的網絡安全防御策略，還針對智能體運行特性給出了落地性強的動態檢測建議。

報告基于“全面覆蓋、可追溯、可查證”原則，結合OpenClaw技術特性和開源社區安全公告，構建六大安全風險體系，覆蓋當前所有已知核心風險點：

1. 指令與模型安全：聚焦提示詞注入、模型幻覺、模型后門等核心風險；
2. 交互與輸入安全：覆蓋惡意輸入注入、誘導性交互等攻擊場景；
3. 執行與權限安全：重點關注沙箱逃逸、越權操作、高危動作執行等風險；
4. 數據與通信安全：包含敏感數據存儲、傳輸加密、數據污染等風險；
5. 接口與服務安全：聚焦未授權訪問、接口越權、暴力破解等隱患；
6. 部署與供應鏈安全：涵蓋第三方依賴漏洞、惡意插件、日志缺失等風險。

△OpenClaw安全風險體系示意圖

報告按照所提出的風險體系，結合近期公開披露的漏洞公告（CVE / GHSA），整理出與OpenClaw智能體相關的典型安全風險事件，并給出相應的緩解措施，如下表所示。

九大高危風險

報告將OpenClaw安全風險劃分為三個等級（低級、中級、高級），共識別如下OpenClaw核心高危風險9項。

均為當前最易被利用、危害最大的核心風險。這些風險既包括傳統系統安全問題，也包括智能體系統特有風險。

• 提示詞注入與指令劫持

攻擊者通過構造惡意輸入或隱藏指令，誘導智能體繞過原有安全約束并執行攻擊者指定操作。

• 沙箱逃逸與越權執行

若智能體執行環境隔離機制存在漏洞，攻擊者可能通過構造特定輸入繞過沙箱限制，執行系統命令或訪問敏感資源，最終實現系統級控制。

• 路徑遍歷與越權文件操作

攻擊者利用路徑遍歷字符（如../）訪問系統敏感文件。

如配置文件、密鑰文件或日志文件，從而獲取關鍵系統信息或篡改系統配置。

• 無限制高危動作執行

智能體若缺乏嚴格的動作權限控制，可執行高危操作。

例如刪除文件、關閉服務、發送外部網絡請求等，一旦被攻擊者誘導，將直接影響系統穩定性。

• 敏感數據明文存儲

系統日志、用戶憑證、API 密鑰等敏感信息若以明文形式存儲，一旦服務器被訪問或日志泄露，攻擊者可快速獲取大量敏感數據。

• 未授權訪問與默認口令

系統若使用默認賬號或弱認證機制，攻擊者可通過掃描工具進行暴力破解或批量攻擊，實現遠程接管系統。

• 接口越權與權限濫用

若系統接口缺乏細粒度權限控制，攻擊者可通過構造請求越權調用控制接口，執行敏感操作或訪問內部數據。

• 第三方依賴漏洞（CVE）

OpenClaw依賴的開源組件若存在公開漏洞，攻擊者可利用已知漏洞實施遠程攻擊，執行惡意代碼或提升系統權限。

• 插件來源不可信與投毒

自非官方渠道的插件或擴展組件可能包含惡意代碼或后門，一旦被加載至系統， 將對智能體運行環境和數據安全造成嚴重威脅。

本次梳理的所有風險，主要影響OpenClaw智能體的四大安全目標。

結合行業公開事件，具體影響系統完整性、數據保密性、執行可控性、審計可追溯性。

防護建議

結合本次梳理的風險點、行業安全最佳實踐及權威機構防護要求，團隊對每類風險提出了如下針對性防護與處置建議，優先處置高危風險，逐步完善防護體系。

• 指令與模型安全：阻斷注入，嚴控輸出

建立惡意誘導文本特征庫，過濾注入意圖輸入；

強化模型輸出審核，對敏感信息脫敏；

規范訓練/微調流程，防范數據投毒；

固定安全指令邊界，禁止泄露核心信息。

• 交互與輸入安全：過濾惡意輸入，識別異常交互

建立輸入安全過濾機制，校驗惡意命令；

設置交互頻率閾值，阻斷連續誘導、疲勞提問；

高危場景采用固定回復模板，增加人工復核。

• 執行與權限安全：最小權限，嚴格隔離

啟用嚴格模式沙箱隔離，限制系統核心資源訪問；

實施命令、文件、路徑白名單，攔截高危操作；

以低權限用戶運行，高危動作增加二次確認和緊急停止功能。

• 數據與通信安全：加密存儲傳輸，數據權限管控

敏感數據（密鑰、憑證、日志）加密存儲，禁止明文；

全面啟用HTTPS/TLS 1.3，禁用 HTTP明文傳輸；

清洗審計訓練、知識庫數據，防范惡意數據混入；

建立數據訪問權限管控與審計機制，實施最小權限訪問。

• 接口與服務安全：嚴控訪問，強化鑒權

關閉公網暴露，僅允許內網、可信IP訪問；

禁用默認賬號、口令，設置強密碼、token鑒權并定期輪換；

接口全鏈路鑒權，設置訪問頻率限制、驗證碼。

• 部署與供應鏈安全：溯源依賴，完善審計

定期掃描第三方依賴CVE漏洞，及時升級修復；

僅從官方渠道下載插件，啟用簽名驗證與黑名單機制；

開啟全流程日志采集，加密存儲；

建立常態化安全巡檢機制。

在此建議各位養蝦er把安全機制拉滿，用蝦不翻車～

GitHub地址：https://github.com/SafeAgent-Beihang/clawguard