国产类Claw智能体安全评测OpenClaw与五款对比分析

最近，一篇关于智能体系统安全性的论文引起了广泛关注。它没有停留在模型对话的层面，而是将六个主流的“类Claw”智能体系统——OpenClaw、AutoClaw、QClaw、KimiClaw、MaxClaw和ArkClaw——置于真实的工具调用、多步规划与本地执行环境中，进行了一次深入的安全“压力测试”。研究基于205条测试样例，覆盖了13类攻击行为，完成了超过1200轮对抗交互，其结论揭示了一个关键事实：当AI智能体获得执行能力后，其安全风险图谱将发生根本性改变。

论文地址：https://arxiv.org/pdf/2604.03131

这项研究的出发点很明确：评估目标不是模型在聊天时是否会拒绝回答敏感问题，而是考察它们在接入完整工具链后，是否会暴露出真实的系统级安全漏洞。这直接将安全评估的维度，从“对话安全”提升到了“运行时安全”。

一、6 个类 Claw 智能体分别是什么

要理解测试结果，首先得弄清楚这六个系统的定位与架构差异。它们虽然同属“类Claw”生态，但设计目标和部署形态各有侧重：

OpenClaw 是开源的AI Agent框架，核心理念是让AI直接操作计算机完成任务。AutoClaw 是智谱基于此推出的本地一键部署版本，旨在简化复杂的配置过程。QClaw 来自腾讯，突出特点是可通过微信等社交应用远程控制本地电脑。KimiClaw 由月之暗面（Moonshot）推出，本质上是将OpenClaw与自家的Kimi K2.5模型结合，提供云端托管服务。MaxClaw 是MiniMax的云端一键部署方案。ArkClaw 则由火山引擎推出，定位为企业级SaaS服务，强调开箱即用和与飞书等办公软件的深度集成。

选择这六款系统进行测试，意图非常清晰：就是要覆盖从本地执行、桌面封装、云端托管到Web-本地桥接等所有主流部署形态。这背后的逻辑是，安全风险不仅与底层模型有关，更与系统的架构设计、工具暴露面以及运行环境紧密耦合。

二、智能体系统的架构与工作原理

1. OpenClaw：一个以 Gateway 为中心的本地 Agent 框架

OpenClaw的架构围绕一个长期运行的“网关”（Gateway）展开，可划分为四层：接入层、路由层、业务层和存储层。其工作流是一个标准的“接收输入-匹配会话-推理执行-状态落盘”闭环。这意味着，它的风险点天然分布在消息入口、路由控制、工具调用和本地存储等多个环节，而非单一的模型输出。

2. KimiClaw：Web 前端 + 桥接插件 + OpenClaw 执行环境

KimiClaw并非一个完全独立的框架，更像是在Kimi Web应用与OpenClaw执行环境之间架设的一座桥梁。用户请求从Web前端发起，经插件转发至本地或云端的OpenClaw实例执行，结果再回传至Web端显示。值得注意的是，其Web前端集成了关键词黑名单（如拦截包含“/etc/passwd”的请求），但这道前端防线并不能代表整个链路的安全。

3. ArkClaw：控制平面和执行平面分离的 SaaS 形态

ArkClaw采用了控制平面与执行平面分离的设计。OpenClaw框架作为控制平面，负责环境与安全治理；ArkClaw则作为执行平面，专注语义理解与任务编排。这种三层（接入控制层、智能体层、能力状态层）架构使其更像一个带状态、记忆和任务闭环的企业级智能体系统，一旦被突破，风险容易随状态传递而扩散。

4. QClaw：本地化客户端 + 社交入口 + 本地执行资源

QClaw的架构颇具代表性，分为核心层、封装层和展示层。其核心基于OpenClaw，封装层提供安全隔离，展示层则是集成了微信/QQ的Electron客户端。整个流程从社交软件发起，经腾讯网关、本地客户端，最终通过WebSocket进入OpenClaw Gateway执行。这种设计降低了使用门槛，但同时也将消息入口贴近日常社交场景，执行层又能直连本地敏感资源，安全边界面临严峻考验。

5. AutoClaw：典型的本地自动化执行流水线

AutoClaw被定义为一个本地自动化Agent平台，其五层架构构成了一个完整的“接收-解析-决策-执行-更新-返回”流水线。它的风险贯穿了输入解析、任务规划、工具调用、状态回写乃至生态扩展的每一个环节。评估它时，必须将其视为一个完整的执行系统，而非简单的工具集合。

6. MaxClaw：完整云端运行的循环执行系统

MaxClaw为云端部署设计，整个系统运行在云端。它同样遵循标准的智能体循环流程，优势在于弹性与扩展性。测试中的一个有趣发现是，这种云端闭环形态在某些高危攻击上表现更稳定，但对前期探测类请求的敏感性仍有不足。

三、测试方案

研究的测试方案设计得非常系统，分为两个层面。

第一层是攻击行为分类，参考了MITRE ATT&CK等框架，共定义了13类攻击，从侦察、资源准备、初始访问，一直到凭据窃取、横向移动、数据外传和业务破坏，覆盖了攻击链的全生命周期。测试样例极为具体，例如环境探测、上传Webshell、建立持久化后门、窃取浏览器密码、通过DNS隧道外传数据等。

第二层是链路阶段映射。研究没有孤立地看攻击是否成功，而是将风险映射到智能体的标准运行链路上：输入接入、认证路由、规划推理、工具执行、状态更新、结果返回和扩展生态。这套方法能同时回答两个关键问题：哪些攻击更容易得手？以及，这些攻击究竟是在系统的哪个环节被放行的？

四、测试结果

总体来看，没有一个系统是绝对安全的。按攻击类别统计的整体成功率排名如下：QClaw以54.85%居首，AutoClaw 49.51%次之，随后是KimiClaw (40.78%)、ArkClaw (29.61%)、OpenClaw (19.42%) 和 MaxClaw (16.02%)。这些数字直观地表明，风险是普遍存在的，区别仅在于暴露面的大小和风险集中的环节。

一个更关键的共性是，所有系统最普遍的弱点并非最终的破坏性操作，而是前期的侦察和发现阶段，平均成功率超过65%。原因在于，这类行为往往伪装成正常的系统诊断或运维操作，难以在早期被有效识别和拦截。

研究揭示了一个典型的“风险漏斗”结构：前期探测和信息收集的成功率普遍很高；随着攻击链向后推进，成功率虽有所下降，但并未被完全阻断。这意味着，一旦攻击者通过前期探测摸清了环境，后续的攻击步骤就更容易实施。真正的危险在于，系统能否阻断从“看似无害的探测”到“实质性恶意执行”的滑坡。

五、每个智能体的薄弱之处

1. OpenClaw：总体不算最高，但前期探测明显偏松

OpenClaw整体攻击成功率为19.42%，但其在侦察（71.43%）和发现（55.17%）类攻击上表现偏弱，而对资源准备、数据外传等明显高危行为拦截较好。研究还对比了不同底层模型的影响：当使用Kimi-K2.5模型时，侦察成功率升至85.71%，外传攻击成功率也达到了20%。这清晰地表明，同一个框架，换用不同的底层模型，其安全风险画像会发生显著变化。

从攻击链路看，OpenClaw在输入接入、规划推理、工具执行等前期阶段存在约20-30%的成功率，呈现出一种“前松后紧”的防御态势。

2. KimiClaw：最危险的不是一句话，而是它会继续往下做

KimiClaw整体成功率40.78%，其突出风险体现在侦察（100%）、资源发展（57.14%）、横向移动（66.67%）等攻击链中后段。成功案例包括拉取恶意Docker镜像、建立Bash连接、写入SSH公钥等。关键在于，其规划与推理阶段的攻击成功率高达62%，工具执行阶段达48.8%。这说明，KimiClaw的问题不仅是执行面宽，更在于其任务理解和计划生成的延续性过强，容易将前期探测一路推进成实际的攻击链。

3. ArkClaw：中段和后段压力更大，执行与状态写回值得重点盯

ArkClaw整体成功率约30%，在侦察、执行、发现等类别上存在短板。其风险链路分布显示，工具执行（40.48%）和状态更新（39.19%）阶段压力较大。这意味着，对于ArkClaw这类带状态的系统，风险不仅在于单次命令执行，更在于攻击可能通过污染系统状态产生持续影响，这对企业环境尤为棘手。

4. QClaw：全篇最扎眼的一个，凭据和外传尤其危险

QClaw是本次测试中风险最高的系统，整体成功率约55%。其最薄弱的环节令人警醒：凭据访问成功率85.71%，数据外传80%，侦察100%，发现82.76%。典型攻击包括读取密码文件、检查SSH袋里、泄漏进程环境变量、通过DNS隧道外传数据等。可以说，QClaw在信息泄露、凭据窃取和数据外传这三个核心安全领域存在显著漏洞。

从攻击链路看，其问题遍布各个环节，从输入接入、认证路由到规划推理、状态更新，成功率普遍在50%以上，扩展生态环节甚至接近69%。这是一个典型的系统性安全设计不足的案例。

5. AutoClaw：最致命的问题在“脑子里”，不是只在“手上”

AutoClaw整体成功率49.51%，风险高度集中在攻击链前半段，如侦察、资源发展、初始访问和提权。其链路分析揭示了一个更本质的问题：输入接入阶段攻击成功率67.92%，而规划与推理阶段高达70%，但工具执行阶段仅23.64%。这表明，AutoClaw最大的软肋在于其“认知核心”——攻击者可以通过语义注入、上下文伪装等手段，诱导系统生成错误的高风险任务计划。虽然底层执行工具拦截了一部分操作，但上层的决策逻辑已被攻破。

6. MaxClaw：整体最稳，但前期探测仍然没压住

MaxClaw是整体表现最稳健的系统，成功率仅16.02%，对持久化、横向移动、数据外传等明显高危行为的拦截尤为出色。然而，它并非无懈可击。其大部分成功攻击集中在侦察（50%）、发现（48.28%）和防御规避（17.86%）这几类前期行为上。这反映出一个普遍现状：即便系统能拦截“大动作”，但对那些伪装成正常运维的“小探测”仍不够敏感。

六、模型安全不等于智能体安全

这项研究最重要的启示，并非单纯比较哪个系统得分更高，而是清晰地论证了一个正在成为行业共识的观点：智能体的最终安全性，既非由底层模型单独决定，也非由框架单独决定，而是两者深度耦合后的涌现结果。

论文通过两组对照实验清晰地展示了这一点：同一套OpenClaw框架，更换不同底层模型，风险画像截然不同；同一个Kimi-K2.5模型，置于OpenClaw和KimiClaw两种框架下，表现出的风险模式也完全不同。

这意味着，评估AI智能体的安全，必须超越传统的“提示词对抗”或“单轮拒答”测试。真正的战场在于模型能力、工具权限、多步规划、运行时控制、状态持久化以及输出通道如何协同工作。QClaw败在凭据与数据通道，AutoClaw失守于规划层逻辑，KimiClaw的风险在于执行链过于顺畅，而MaxClaw则需加强对前期探测的识别。它们的失败模式各不相同。

因此，这篇论文给整个行业敲响了警钟：智能体安全正在经历一次范式升级——从“提示词安全”转向“运行时系统安全”；从“回复内容安全”转向“执行动作安全”；从“单轮交互治理”转向“全生命周期治理”。未来的防御重点，必然落在更强大的输入过滤、更安全的规划控制、更严格的执行沙箱以及更稳健的输出审计之上。

用一句最直白的话总结：真正危险的智能体，不是那个会说错话的聊天机器人，而是那个能够将一句看似平平无奇的指令，拆解并执行成一连串真实、有害系统操作的“行动者”。