OpenClaw(原名 Clawdbot、Moltbot)作为热门开源 AI 智能体,因设计缺陷与生态污染已成为木马传播重灾区,攻击者通过恶意技能、指令注入与身份验证漏洞植入信息窃取类恶意程序,可窃取凭证、密钥并远程控机。以下是核心风险、检测、清除与防护方案,精准覆盖技术人员的可操作需求。

一、核心风险与攻击路径

表格

风险类型 技术原理 典型危害
身份验证绕过 本地连接默认信任(localhost免鉴权),反向代理场景下真实 IP 被误判为 127.0.0.1,直接绕过密码 / Token 校验 攻击者通过代理跳板获取管理员权限,远程控机
恶意技能陷阱 ClawHub 等平台中约 11.9% 技能为恶意,伪装成加密货币跟踪、YouTube 摘要等工具,诱导执行带载荷脚本 植入 Atomic Stealer 等窃取器,盗 API 密钥、SSH 凭证、钱包私钥
间接指令注入 OpenClaw 在同一上下文处理用户指令与不可信文档(邮件 / 网页)内容,无隔离机制 恶意文档隐藏命令注入,安装后门或静默外发数据
权限过高 默认获取系统级读写与终端执行权限,无细粒度权限控制 执行 rm -rf 等高危命令,全量数据删除或加密

二、快速检测步骤(Windows/macOS 通用)

  1. 进程与启动项排查
    • Windows:任务管理器查看 OpenClaw 相关进程(如 openclaw-agent.exe),msconfig 检查启动项;PowerShell 执行 Get-CimInstance -ClassName Win32_StartupCommand。
    • macOS:活动监视器查可疑进程,终端运行 launchctl list | grep openclaw,ls -la ~/Library/LaunchAgents/ 看异常启动脚本。
  2. 网络与流量审计
    • 检查是否有未知 IP(如 91.92.242.30)的出站连接;Windows 用 netstat -ano,macOS 用 lsof -i 或 tcpdump 抓包。
    • 核对防火墙日志,是否有 OpenClaw 进程的异常端口(如默认 3000/8080)暴露。
  3. 恶意文件与残留扫描
    • 搜索路径:Windows 的 % USERPROFILE%\Downloads、% TEMP%;macOS 的~/Downloads、/tmp、~/Library/Application Support/OpenClaw。
    • 重点文件:openclaw-agent.zip、Base64 混淆脚本、glot.io 来源的 bash 文件。
  4. 安全工具扫描
    • 用奇安信、Bitdefender、1Password Watchtower 等检测 Atomic Stealer、键盘记录器等恶意载荷。

三、彻底清除流程

  1. 停止进程与服务
    • Windows:taskkill /F/IM openclaw*.exe;macOS:pkill -f openclaw,launchctl remove [服务名]。
  2. 卸载主程序与恶意技能
    • 执行官方卸载脚本:Windows 运行 uninstall-openclaw.bat;macOS 执行~/openclaw/uninstall.sh。
    • 删除技能目录:Windows % LOCALAPPDATA%\OpenClaw\skills;macOS ~/.openclaw/skills。
  3. 清理配置与残留
    • Windows:rmdir /s /q %APPDATA%\OpenClaw;macOS:rm -rf ~/.openclaw ~/Library/Application\ Support/OpenClaw。
    • 检查并删除用户目录下的可疑 zip / 脚本,如 openclaw-agent.zip。
  4. 系统与凭证修复
    • 重置受影响账户密码,重新生成 SSH 密钥、API 令牌、钱包私钥并更新相关服务配置。
    • 检查浏览器 Cookie / 自动填充,清除异常项;macOS 执行 xattr -d com.apple.quarantine [可疑文件] 并重启。

四、防护加固方案

  1. 部署层防护
    • 禁用本地免鉴权:修改 config.yaml,设置 localhost_auth: false,强制所有连接需 Token 验证。
    • 反向代理安全:Nginx/Caddy 添加 real_ip 模块,配置 set_real_ip_from 127.0.0.1; real_ip_header X-Real-IP; 避免 IP 误判。
    • 端口限制:用防火墙只允许信任 IP 访问 OpenClaw 端口,禁止公网直接暴露。
  2. 技能与指令安全
    • 仅安装官方 / 可信源技能,拒绝执行 “前置条件” 中的未知脚本。
    • 启用指令沙箱:限制 OpenClaw 的文件读写路径(如仅允许~/OpenClaw-Workspace),禁用 rm、dd 等高危命令。
  3. 持续监控与审计
    • 日志审计:开启 OpenClaw 详细日志,定期检查 command_execution、skill_install 等记录。
    • 敏感文件保护:用文件加密工具保护私钥、凭证文件,设置 OpenClaw 的访问黑白名单。

五、应急响应建议

  1. 发现异常时立即断网,避免数据外发;隔离主机后全盘扫描。
  2. 若已泄露凭证,优先重置云服务、代码仓库、加密货币平台的密钥与密码。
  3. 对 OpenClaw 的配置与技能目录做镜像备份,便于溯源分析。

其他推荐:

一句话生成漫画的扣子技能

# 人工智能 # AIGC # 安全威胁分析
Logo
2048 AI社区

有“AI”的1024 = 2048,欢迎大家加入2048 AI社区

更多推荐

三大主流智能体框架解析

三种主流智能体开发框架简介

avatar 2048 AI社区
cover

期刊论文写作不用愁,paperzz 带你解锁高效发文新路径

avatar 2048 AI社区

LangChain 官方主页和资源

LangChain官方资源导航:包含主文档网站(python.langchain.com)、旧版文档、GitHub仓库等核心资源;中文用户可使用python.langchain.cn社区翻译文档。提供模块化链接(核心、LangSmith、LangGraph等)、新手入门路径和实用资源(Cookbook示例、YouTube频道、Discord社区)。国内用户建议使用镜像源或本地文档,关注X/Twit

avatar 2048 AI社区