OpenClaw AI智能体存在安全漏洞，可能导致提示注入和数据泄露

中国国家计算机网络应急技术处理协调中心（CNCERT）发布警告，指出使用OpenClaw（前身为Clawdbot和Moltbot）存在安全风险。OpenClaw是一个开源的自托管自主人工智能智能体。

CNCERT在微信发布的文章中指出，该平台"固有的薄弱默认安全配置"，加上其对系统的特权访问以促进自主任务执行能力，可能被恶意行为者利用来控制终端。

这包括提示注入风险，恶意行为者将恶意指令嵌入到网页中，如果智能体被诱骗访问和处理该内容，就可能导致敏感信息泄露。

这种攻击也被称为间接提示注入（IDPI）或跨域提示注入（XPIA）。对手不是直接与大语言模型交互，而是武器化良性AI功能，如网页摘要或内容分析来运行被操纵的指令。这可能包括规避基于AI的广告审查系统、影响招聘决策、搜索引擎优化（SEO）中毒，以及通过压制负面评价来生成有偏见的回应。

OpenAI在本周早些时候发布的博客文章中表示，提示注入式攻击正在演变，不仅仅是在外部内容中放置指令，还包括社会工程学元素。

"AI智能体越来越能够浏览网络、检索信息，并代表用户采取行动，"文章说道。"这些能力很有用，但它们也为攻击者尝试操纵系统创造了新的方式。"

OpenClaw中的提示注入风险并非假设。上个月，PromptArmor的研究人员发现，Telegram或Discord等消息应用中的链接预览功能可以通过间接提示注入的方式，在与OpenClaw通信时变成数据泄露通道。

从高层次来看，这个想法是欺骗AI智能体生成一个攻击者控制的URL，当该URL在消息应用中作为链接预览呈现时，会自动导致它将机密数据传输到该域，而无需点击链接。

"这意味着在具有链接预览的智能体系统中，数据泄露可能在AI智能体响应用户时立即发生，而不需要用户点击恶意链接，"这家AI安全公司表示。"在这种攻击中，智能体被操纵构建一个使用攻击者域名的URL，并附加动态生成的查询参数，这些参数包含模型知道的用户敏感数据。"

除了恶意提示外，CNCERT还强调了其他三个担忧：

OpenClaw可能由于误解用户指令而意外且不可逆转地删除关键信息的可能性。

威胁行为者可以向ClawHub等存储库上传恶意技能，安装后会运行任意命令或部署恶意软件。

攻击者可以利用OpenClaw最近披露的安全漏洞来损害系统并泄露敏感数据。

"对于关键部门——如金融和能源——此类漏洞可能导致核心业务数据、商业机密和代码库的泄露，甚至导致整个业务系统的完全瘫痪，造成不可估量的损失，"CNCERT补充说。

为了应对这些风险，建议用户和组织加强网络控制，防止OpenClaw默认管理端口暴露在互联网上，在容器中隔离服务，避免以明文存储凭据，仅从可信渠道下载技能，禁用技能的自动更新，并保持智能体最新。

据彭博社报道，中国当局已经开始限制国有企业和政府机构在办公电脑上运行OpenClaw AI应用程序，以控制安全风险。据说这项禁令还扩展到军人家属。

OpenClaw的病毒式流行也导致威胁行为者利用这一现象分发恶意GitHub存储库，伪装成OpenClaw安装程序，部署Atomic和Vidar Stealer等信息窃取器，以及使用ClickFix风格指令的基于Golang的代理恶意软件GhostSocks。

"该活动没有针对特定行业，而是广泛针对尝试安装OpenClaw的用户，恶意存储库包含Windows和macOS环境的下载说明，"Huntress表示。"这次成功的原因是恶意软件托管在GitHub上，恶意存储库在必应AI搜索OpenClaw Windows的结果中成为评分最高的建议。"

Q&A

Q1：什么是OpenClaw？它有什么安全风险？

A：OpenClaw是一个开源的自托管自主人工智能智能体，前身为Clawdbot和Moltbot。它存在的主要安全风险包括提示注入攻击、数据泄露、可能误删关键信息，以及恶意技能上传等问题。

Q2：提示注入攻击是如何工作的？

A：提示注入攻击是指恶意行为者将恶意指令嵌入到网页中，当AI智能体被诱骗访问这些内容时，就可能泄露敏感信息。这种攻击还可以通过链接预览功能实现数据泄露，无需用户点击恶意链接。

Q3：如何防范OpenClaw的安全风险？

A：防范措施包括：加强网络控制，防止默认管理端口暴露在互联网；在容器中隔离服务；避免明文存储凭据；仅从可信渠道下载技能；禁用技能自动更新；保持智能体软件最新等。