OpenClaw AI代理漏洞警示：提示词注入攻击与数据窃取风险

为有效防范潜在风险，建议用户与企业采取以下安全措施：强化网络访问控制、避免OpenClaw默认管理端口暴露在互联网、采用容器化技术隔离敏感服务、杜绝明文存储访问凭证、仅从可信渠道下载功能模块、禁止技能组件自动更新，同时确保代理程序时刻处于最新状态。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

国家计算机网络应急技术处理协调中心（CNCERT）近日发布安全预警，指出开源自主托管AI代理OpenClaw（其前身为Clawdbot和Moltbot）存在严重安全缺陷。该机构在其官方社交媒体平台发文称，该平台“默认安全配置存在设计缺陷”，加之其执行自主任务所需的系统高权限访问能力，可能被攻击者利用进而控制用户终端设备。

间接提示词注入风险凸显

风险主要源于提示词注入攻击——当AI代理被诱导访问含有恶意指令的网页内容时，可能导致敏感信息泄露。这类攻击也被称为间接提示词注入或跨域提示词注入，攻击者并非直接与大型语言模型交互，而是通过劫持网页摘要、内容分析等正常AI功能来执行被篡改的指令。攻击场景包括常规AI广告审核系统、影响招聘决策、实施搜索引擎优化污染，以及通过压制负面评价生成带有偏见的回复。

OpenAI在本周发布的博文中指出，提示词注入攻击已从简单的外部指令植入，演变为包含社会工程学元素的复合式攻击。“AI代理正日益具备网页浏览、信息检索和代用户执行操作的能力，”文中强调，“这些能力虽然实用，但也为攻击者提供了新的系统操控途径。”

真实攻击案例曝光

OpenClaw的提示词注入风险并非理论假设。上月PromptArmor研究人员发现，当通过间接提示词注入与OpenClaw通信时，Telegram或Discord等即时通讯应用中的链接预览功能可能沦为数据外泄通道。攻击原理是诱导AI代理生成攻击者控制的URL，当该链接在通讯应用中呈现为预览时，无需用户点击即可自动向攻击者域名传输机密数据。

AI安全公司指出：“在具备链接预览功能的代理系统中，只要AI代理对用户作出响应，数据外泄就会立即发生，无需用户点击恶意链接。在此类攻击中，代理被操控构建包含攻击者域名的URL，并附加动态生成的查询参数，这些参数包含模型所知的用户敏感数据。”

多重安全隐患并存

除恶意提示词外，CNCERT还警示了其他三项风险：

OpenClaw可能因误读用户指令而不可逆地删除关键信息；攻击者可向ClawHub等仓库上传恶意技能模块，安装后会执行任意命令或部署恶意软件；攻击者可利用OpenClaw最新披露的安全漏洞入侵系统并泄露敏感数据。

CNCERT补充道：“对金融、能源等关键行业而言，此类漏洞可能导致核心业务数据、商业秘密和代码仓库泄露，甚至造成整个业务系统完全瘫痪，带来不可估量的损失。”

防护措施与政策响应

为应对风险，建议用户与企业采取以下措施：加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能，以及保持代理程序最新状态。

OpenClaw的病毒式传播也促使攻击者借机散布伪装成OpenClaw安装程序的恶意GitHub仓库，用于部署Atomic、Vidar Stealer等信息窃取程序，以及基于Golang的GhostSocks代理恶意软件。Huntress安全公司表示：“该活动未针对特定行业，而是广泛攻击试图安装OpenClaw的用户，恶意仓库包含Windows和macOS环境的下载指令。攻击得逞的关键在于恶意软件托在GitHub上，且该恶意仓库成为Bing AI搜索相关关键词时的置顶结果。”