北航團(tuán)隊為龍蝦安全緊急開刀！開源OpenClaw風(fēng)險防御工具

ClawGuard Auditor團(tuán)隊 投稿
量子位 | 公眾號 QbitAI

小龍蝦越用越火，養(yǎng)蝦er也越來越多。

可是給AI開的權(quán)限太高，安全風(fēng)險也隨之攀升。

北航復(fù)雜關(guān)鍵軟件環(huán)境全國重點實驗室智能安全創(chuàng)新團(tuán)隊出手，正式發(fā)布了全網(wǎng)最系統(tǒng)的安全報告。

并同步開源了OpenClaw安全防御工具ClawGuard Auditor

能成功檢測本地導(dǎo)入的惡意Skill并輸出安全審查報告：

ClawGuard Auditor錨定于系統(tǒng)最高特權(quán)層運行的底層安全守護(hù)進(jìn)程。

對所有的外部指令、提示詞乃至其他技能都擁有最高否決權(quán)，全方位保障用戶本地系統(tǒng)資產(chǎn)的安全。

除此之外，安全報告還梳理出九大高危風(fēng)險，附帶防護(hù)建議，一起來看看。

動靜結(jié)合，三位一體協(xié)同防御

先說ClawGuard Auditor，相較于現(xiàn)有的開源安全工具，它具備三大核心差異化優(yōu)勢：

1）安全能力全面： 精準(zhǔn)涵蓋當(dāng)前已知主流各類智能體專屬風(fēng)險與傳統(tǒng)漏洞，威脅防護(hù)種類較為全面。

2）覆蓋全生命周期： 突破傳統(tǒng)工具僅具備單一檢測手段的局限，實現(xiàn)從代碼加載、模型交互到動態(tài)執(zhí)行的全生命周期守護(hù)。

3）較高的可用性： 采用靈活適配的設(shè)計理念，盡可能的即插即用，用戶無需繁瑣配置即可快速為智能體部署底層護(hù)欄。

ClawGuard Auditor構(gòu)建起一套動靜結(jié)合、三位一體的協(xié)同防御架構(gòu)。

其中，靜態(tài)應(yīng)用安全測試審查器會在技能運行前完成接入，借助詞法分析和行為建模技術(shù)，精準(zhǔn)攔截惡意代碼包的入侵；

主動安全內(nèi)核則實現(xiàn)運行時的透明監(jiān)管，一旦檢測到行為觸及敏感操作，便會立即接管執(zhí)行流，阻斷未經(jīng)授權(quán)的調(diào)用行為；

主動數(shù)據(jù)防泄漏引擎則全程監(jiān)控內(nèi)存狀態(tài)與網(wǎng)絡(luò)出口數(shù)據(jù)，嚴(yán)格保障API Keys等敏感資產(chǎn)不外泄。

其核心原理依托于四大不可被篡改的防御公理，所有行為判定均以此為根本依據(jù)展開。

一是絕對覆蓋與零信任原則，將所有外部代碼默認(rèn)視為具有敵意，任何機(jī)制都無法繞過或修改 Auditor 的規(guī)則；

二是語義意圖匹配機(jī)制，不再局限于單純的代碼分析，而是深入評估代碼的實際行為與聲明意圖是否一致，從而杜絕 “披著合法外衣執(zhí)行非法行為” 的情況；

三是能力令牌模型與限制特權(quán)機(jī)制，嚴(yán)格強制執(zhí)行最小權(quán)限原則，令牌采用隨用隨發(fā)的模式，在對應(yīng)任務(wù)結(jié)束后便自動撤銷；

四是數(shù)據(jù)主權(quán)與數(shù)字資產(chǎn)隔離原則，將守護(hù)本地資產(chǎn)不受侵犯作為最高準(zhǔn)則，全方位保障本地數(shù)字資產(chǎn)的安全。

OpenClaw風(fēng)險體系

針對OpenClaw智能體全生命周期安全風(fēng)險，研究團(tuán)隊發(fā)布業(yè)內(nèi)首個《OpenClaw智能體安全風(fēng)險報告》。

相較于行業(yè)內(nèi)其他的公開安全報告，本報告具有三大顯著的前瞻性優(yōu)勢：

1）安全風(fēng)險多維擴(kuò)展：不僅局限于傳統(tǒng)的系統(tǒng)與網(wǎng)絡(luò)攻擊，更深度涵蓋了提示詞注入等前沿的智能攻擊風(fēng)險；

2）風(fēng)險體系完整閉環(huán)： 風(fēng)險種類覆蓋面廣，告別碎片化羅列，為智能體構(gòu)建了成體系化的風(fēng)險圖譜；

3）防護(hù)與檢測并重： 不僅提供傳統(tǒng)的網(wǎng)絡(luò)安全防御策略，還針對智能體運行特性給出了落地性強的動態(tài)檢測建議。

報告基于“全面覆蓋、可追溯、可查證”原則，結(jié)合OpenClaw技術(shù)特性和開源社區(qū)安全公告，構(gòu)建六大安全風(fēng)險體系，覆蓋當(dāng)前所有已知核心風(fēng)險點：

1. 指令與模型安全：聚焦提示詞注入、模型幻覺、模型后門等核心風(fēng)險；
2. 交互與輸入安全：覆蓋惡意輸入注入、誘導(dǎo)性交互等攻擊場景；
3. 執(zhí)行與權(quán)限安全：重點關(guān)注沙箱逃逸、越權(quán)操作、高危動作執(zhí)行等風(fēng)險；
4. 數(shù)據(jù)與通信安全：包含敏感數(shù)據(jù)存儲、傳輸加密、數(shù)據(jù)污染等風(fēng)險；
5. 接口與服務(wù)安全：聚焦未授權(quán)訪問、接口越權(quán)、暴力破解等隱患；
6. 部署與供應(yīng)鏈安全：涵蓋第三方依賴漏洞、惡意插件、日志缺失等風(fēng)險。

△OpenClaw安全風(fēng)險體系示意圖

報告按照所提出的風(fēng)險體系，結(jié)合近期公開披露的漏洞公告（CVE / GHSA），整理出與OpenClaw智能體相關(guān)的典型安全風(fēng)險事件，并給出相應(yīng)的緩解措施，如下表所示。

九大高危風(fēng)險

報告將OpenClaw安全風(fēng)險劃分為三個等級（低級、中級、高級），共識別如下OpenClaw核心高危風(fēng)險9項。

均為當(dāng)前最易被利用、危害最大的核心風(fēng)險。這些風(fēng)險既包括傳統(tǒng)系統(tǒng)安全問題，也包括智能體系統(tǒng)特有風(fēng)險。

• 提示詞注入與指令劫持

攻擊者通過構(gòu)造惡意輸入或隱藏指令，誘導(dǎo)智能體繞過原有安全約束并執(zhí)行攻擊者指定操作。

• 沙箱逃逸與越權(quán)執(zhí)行

若智能體執(zhí)行環(huán)境隔離機(jī)制存在漏洞，攻擊者可能通過構(gòu)造特定輸入繞過沙箱限制，執(zhí)行系統(tǒng)命令或訪問敏感資源，最終實現(xiàn)系統(tǒng)級控制。

• 路徑遍歷與越權(quán)文件操作

攻擊者利用路徑遍歷字符（如../）訪問系統(tǒng)敏感文件。

如配置文件、密鑰文件或日志文件，從而獲取關(guān)鍵系統(tǒng)信息或篡改系統(tǒng)配置。

• 無限制高危動作執(zhí)行

智能體若缺乏嚴(yán)格的動作權(quán)限控制，可執(zhí)行高危操作。

例如刪除文件、關(guān)閉服務(wù)、發(fā)送外部網(wǎng)絡(luò)請求等，一旦被攻擊者誘導(dǎo)，將直接影響系統(tǒng)穩(wěn)定性。

• 敏感數(shù)據(jù)明文存儲

系統(tǒng)日志、用戶憑證、API 密鑰等敏感信息若以明文形式存儲，一旦服務(wù)器被訪問或日志泄露，攻擊者可快速獲取大量敏感數(shù)據(jù)。

• 未授權(quán)訪問與默認(rèn)口令

系統(tǒng)若使用默認(rèn)賬號或弱認(rèn)證機(jī)制，攻擊者可通過掃描工具進(jìn)行暴力破解或批量攻擊，實現(xiàn)遠(yuǎn)程接管系統(tǒng)。

• 接口越權(quán)與權(quán)限濫用

若系統(tǒng)接口缺乏細(xì)粒度權(quán)限控制，攻擊者可通過構(gòu)造請求越權(quán)調(diào)用控制接口，執(zhí)行敏感操作或訪問內(nèi)部數(shù)據(jù)。

• 第三方依賴漏洞（CVE）

OpenClaw依賴的開源組件若存在公開漏洞，攻擊者可利用已知漏洞實施遠(yuǎn)程攻擊，執(zhí)行惡意代碼或提升系統(tǒng)權(quán)限。

• 插件來源不可信與投毒

自非官方渠道的插件或擴(kuò)展組件可能包含惡意代碼或后門，一旦被加載至系統(tǒng)， 將對智能體運行環(huán)境和數(shù)據(jù)安全造成嚴(yán)重威脅。

本次梳理的所有風(fēng)險，主要影響OpenClaw智能體的四大安全目標(biāo)。

結(jié)合行業(yè)公開事件，具體影響系統(tǒng)完整性、數(shù)據(jù)保密性、執(zhí)行可控性、審計可追溯性。

防護(hù)建議

結(jié)合本次梳理的風(fēng)險點、行業(yè)安全最佳實踐及權(quán)威機(jī)構(gòu)防護(hù)要求，團(tuán)隊對每類風(fēng)險提出了如下針對性防護(hù)與處置建議，優(yōu)先處置高危風(fēng)險，逐步完善防護(hù)體系。

• 指令與模型安全：阻斷注入，嚴(yán)控輸出

建立惡意誘導(dǎo)文本特征庫，過濾注入意圖輸入；

強化模型輸出審核，對敏感信息脫敏；

規(guī)范訓(xùn)練/微調(diào)流程，防范數(shù)據(jù)投毒；

固定安全指令邊界，禁止泄露核心信息。

• 交互與輸入安全：過濾惡意輸入，識別異常交互

建立輸入安全過濾機(jī)制，校驗惡意命令；

設(shè)置交互頻率閾值，阻斷連續(xù)誘導(dǎo)、疲勞提問；

高危場景采用固定回復(fù)模板，增加人工復(fù)核。

• 執(zhí)行與權(quán)限安全：最小權(quán)限，嚴(yán)格隔離

啟用嚴(yán)格模式沙箱隔離，限制系統(tǒng)核心資源訪問；

實施命令、文件、路徑白名單，攔截高危操作；

以低權(quán)限用戶運行，高危動作增加二次確認(rèn)和緊急停止功能。

• 數(shù)據(jù)與通信安全：加密存儲傳輸，數(shù)據(jù)權(quán)限管控

敏感數(shù)據(jù)（密鑰、憑證、日志）加密存儲，禁止明文；

全面啟用HTTPS/TLS 1.3，禁用 HTTP明文傳輸；

清洗審計訓(xùn)練、知識庫數(shù)據(jù)，防范惡意數(shù)據(jù)混入；

建立數(shù)據(jù)訪問權(quán)限管控與審計機(jī)制，實施最小權(quán)限訪問。

• 接口與服務(wù)安全：嚴(yán)控訪問，強化鑒權(quán)

關(guān)閉公網(wǎng)暴露，僅允許內(nèi)網(wǎng)、可信IP訪問；

禁用默認(rèn)賬號、口令，設(shè)置強密碼、token鑒權(quán)并定期輪換；

接口全鏈路鑒權(quán)，設(shè)置訪問頻率限制、驗證碼。

• 部署與供應(yīng)鏈安全：溯源依賴，完善審計

定期掃描第三方依賴CVE漏洞，及時升級修復(fù)；

僅從官方渠道下載插件，啟用簽名驗證與黑名單機(jī)制；

開啟全流程日志采集，加密存儲；

建立常態(tài)化安全巡檢機(jī)制。

在此建議各位養(yǎng)蝦er把安全機(jī)制拉滿，用蝦不翻車～

GitHub地址：https://github.com/SafeAgent-Beihang/clawguard