当AI智能体从实验室走向大众，从“能说会道”升级为“能征善战”，安全隐患也随之浮出水面。2026年3月22日，360安全云团队披露的OpenClaw零日漏洞，如同一声惊雷，打破了AI执行时代的狂欢，将开源AI智能体的安全短板赤裸裸地暴露在公众视野中。这款被业内戏称为“数字龙虾”、GitHub星标突破28万+的开源框架，曾凭借自主执行、跨平台适配的核心能力，被黄仁勋誉为“AI时代的Linux”，如今却因致命漏洞陷入信任危机。这场漏洞风波不仅关乎OpenClaw自身的生死存亡，更给整个AI执行赛道敲响警钟——当AI拥有了自主执行的“双手”，我们该如何筑牢安全底线，让技术红利与安全保障并行？

一、突发：360 发现 OpenClaw 致命漏洞，创始人官方确认

2026年3月22日，360安全云团队正式对外发布公告，宣布独家发现OpenClaw框架的核心零日漏洞，这一漏洞随后得到OpenClaw创始人Peter Steinberger的官方邮件确认，邮件中明确认可漏洞的真实性、高危性，并感谢360团队的漏洞披露与技术支持。据悉，该漏洞为WebSocket无认证升级零日漏洞（目前CVE编号待分配），CVSS评分高达10.0（满分），属于顶级致命漏洞，其攻击路径简单、危害范围极广，成为OpenClaw爆发以来最严重的安全事件。

从技术原理来看，该漏洞的核心症结在于OpenClaw Gateway网关的认证机制缺失——当使用共享令牌或密码认证时，系统未能正确验证和限制客户端自行声明的权限范围，攻击者只需掌握共享令牌，在WebSocket连接时声明高权限作用域（如operator.admin），即可完全控制目标设备的网关中枢。而Gateway作为OpenClaw的“大脑中枢”，承担着消息路由、Agent智能体调度、权限管理、工具调用的核心职责，一旦被控制，整个OpenClaw系统将彻底沦为攻击者的“傀儡”。

该漏洞的危害远超普通安全漏洞，呈现出三大致命特征：其一，完全控制中枢，攻击者可接管所有消息路由、Agent调度和权限管理，随意修改网关配置、篡改认证设置，甚至删除用户会话，掌控整个OpenClaw系统的运行逻辑；其二，全面入侵设备，通过网关可直接控制所有关联节点，执行Shell命令、遍历访问本地文件、窃取敏感数据（如API密钥、聊天记录、个人隐私），甚至植入恶意后门，实现对设备的长期控制；其三，零点击攻击，无需用户进行任何操作，攻击者无需诱导用户点击链接、下载插件，仅通过远程发起WebSocket连接，即可完成漏洞利用，攻击过程全程静默，用户毫无感知，风险等级极高。

更令人担忧的是，据Security Scorecard数据显示，互联网上可被探测到的OpenClaw暴露实例累计超46.9万个，其中85%的资产直接暴露在公网之上，且默认绑定0.0.0.0:18789地址并允许所有外部IP访问，这意味着大量个人和企业用户正处于“裸奔”状态。面对这一危机，360团队第一时间将漏洞报送国家信息安全漏洞共享平台（CNVD），同步推出“龙虾保”专项安全服务，涵盖漏洞检测、恶意插件拦截、权限管控等核心功能，为个人和企业用户提供应急防护方案，也为行业树立了漏洞披露与快速响应的标杆。

二、根源：OpenClaw 的架构设计与安全天生矛盾

此次零日漏洞的爆发并非偶然，而是OpenClaw的架构设计与安全需求存在天生矛盾的集中体现。作为一款主打“自主执行”的AI智能体框架，OpenClaw的核心价值的在于打破AI“只说不做”的局限，实现自然语言指令到具体操作的全流程自动化，而这一价值的实现，必然要以牺牲部分安全性为代价，形成了“能力越强，风险越高”的尴尬局面，其核心矛盾主要集中在三个方面。

首先，高权限设计是核心风险源。OpenClaw要实现“接管电脑、跨平台操作”的核心功能，必须获取系统最高权限，包括文件读写、程序运行、网络访问、账户控制等全方位权限，这是其区别于普通AI对话工具的核心优势，也是最大的安全隐患。不同于传统软件“按需授权”的模式，OpenClaw默认开启全量高权限，且未设置精细化的权限分级机制，一旦网关被攻破，攻击者就能借助最高权限实现对设备的全面控制，这相当于给攻击者打开了“一扇无锁的大门”。正如工信部网络安全威胁和漏洞信息共享平台（NVDB）预警所言，OpenClaw架构设计缺陷多，层层皆可破，执行层与操作系统直接交互的特性，使其存在被完全控制的风险。

其次，开源快速迭代与安全审计脱节。OpenClaw从一款极客玩具崛起为全民风口，仅用了短短数月时间，其发展速度远超行业预期，但这种“野蛮生长”也导致安全审计跟不上功能迭代的步伐。开源项目的核心优势在于社区协同、快速迭代，但弊端也同样明显——缺乏专业的安全团队进行全流程审计，大量开发者贡献的代码的中可能隐藏安全漏洞，且项目迭代过程中，优先追求功能完善，忽视了安全防护的打磨。截至2026年3月，CNNVD共采集OpenClaw漏洞82个，其中超危漏洞12个、高危漏洞21个，此前披露的CVE-2026-25253漏洞（CVSS 8.8），更是能实现一键远程代码执行，攻击者构造恶意链接，诱导用户点击即可接管网关，可见其安全防护的薄弱。

最后，早期用户群体的安全意识薄弱。OpenClaw早期的核心用户以极客群体为主，这类用户更注重功能体验和自定义能力，对安全风险的关注度较低，且大多默认开启高权限、不设置复杂密码，甚至将网关直接暴露在公网，为攻击者提供了可乘之机。更值得警惕的是，随着OpenClaw的普及，大量普通用户涌入，这类用户缺乏基本的网络安全知识，不了解权限管理的重要性，盲目“养龙虾”，进一步扩大了漏洞的危害范围。此外，生态污染也加剧了安全风险，Koi Security审计显示，ClawHub近3000个公开技能中，有341个恶意技能，占比高达11.94%，这些恶意技能伪装成办公自动化、天气查询等刚需工具，通过植入恶意代码、诱导权限授权等方式窃取数据，形成集中式窃密网络。

三、冲击：个人、企业与行业的三重危机

360零日漏洞的披露，迅速引发了连锁反应，对个人用户、企业用户和整个AI智能体行业造成了三重冲击，原本火热的OpenClaw生态陷入信任危机，也让市场重新审视AI执行技术的安全边界。

对个人用户而言，漏洞带来的是隐私与设备安全的双重威胁，曾经贴心的“数字员工”，随时可能变成窃取隐私、控制设备的“数字黑客”。攻击者通过漏洞接管OpenClaw后，可轻松读取用户本地文件、窃取社交账号、支付密码、个人照片等敏感信息，甚至控制设备摄像头、麦克风，实现全天候监控；更有攻击者通过植入后门，长期控制用户设备，将其纳入僵尸网络，用于挖矿、发起网络攻击等非法活动，给个人用户带来不可挽回的损失。更可怕的是，攻击过程全程静默，用户难以察觉，即便发现设备异常，也难以追溯攻击源头，给取证和维权带来极大困难。

对企业用户而言，漏洞直接威胁核心数据与商业机密的安全，导致OpenClaw企业级部署陷入停滞。当前，已有腾讯、阿里等科技巨头推出OpenClaw企业级服务，不少中小企业也开始尝试通过OpenClaw实现办公自动化、运维自动化，以降低人力成本。但漏洞披露后，企业纷纷暂停部署计划，尤其是金融、医疗、政务等对数据安全要求极高的行业，更是全面禁止使用OpenClaw，担心核心数据泄露、业务系统被攻击。一旦企业核心数据被窃取，不仅会造成巨大的经济损失，还可能面临合规处罚，损害企业声誉，而业务系统被控制则可能导致业务停摆，引发更大的危机。

对整个AI智能体行业而言，漏洞引发了市场对开源AI智能体的信任危机，资本热情降温，行业发展陷入短暂停滞。此前，OpenClaw的爆火带动了“龙虾概念股”暴涨，腾讯、字节跳动等巨头纷纷加大投入，资本纷纷布局开源AI智能体赛道，认为其将开启万亿市场。但漏洞披露后，资本开始重新评估行业风险，部分投资机构暂停了对相关项目的投资，巨头也放缓了布局步伐，转而加大安全投入，完善防护体系。更重要的是，普通用户对AI智能体的信任度大幅下降，担心技术漏洞带来安全风险，这给整个赛道的普及和发展带来了巨大阻力，也让行业意识到，没有安全保障的技术，再强的功能也无法实现可持续发展。

四、救赎：安全升级与生态重构，OpenClaw 的破局之路

面对突如其来的安全危机，OpenClaw生态并未坐以待毙，而是快速启动自救模式，从官方修复、企业级防护、安全厂商赋能、行业标准建立四个维度发力，重构安全体系，试图挽回市场信任，走出破局之路。

OpenClaw官方率先行动，推出紧急修复方案，快速遏制漏洞危害。漏洞披露当天，OpenClaw团队就发布了安全补丁，强制开启WebSocket认证功能，关闭无认证升级通道，对网关权限进行精细化管控，限制客户端权限声明范围，从源头堵塞漏洞；同时，提醒所有用户立即更新版本，关闭公网暴露端口，设置复杂密码，降低被攻击风险。此外，官方还宣布成立专门的安全审计团队，将安全审计融入代码开发、功能迭代的全流程，建立漏洞披露与快速响应机制，定期开展安全检测，避免类似漏洞再次发生。

企业级安全方案的推出，为企业部署OpenClaw保驾护航。英伟达在GTC 2026大会上推出的NemoClaw企业级平台，针对性解决OpenClaw的安全短板，内置安全沙箱、权限最小化、数据隔离、审计日志等核心安全能力。其中，安全沙箱可将OpenClaw的执行环境与企业核心系统隔离，避免权限滥用和数据泄露；权限最小化机制仅授予OpenClaw完成任务所需的最小权限，拒绝默认高权限；审计日志可全程记录OpenClaw的操作行为，实现行为回溯，便于企业排查安全隐患，这些功能大幅提升了OpenClaw的企业级安全能力。

安全厂商的全面入场，为OpenClaw生态构建起全方位的安全屏障。除了360推出的“龙虾保”安全服务，深信服、奇安信等主流安全厂商也纷纷推出OpenClaw专项安全服务，涵盖漏洞检测、恶意插件拦截、权限管控、威胁防护等全流程服务。其中，360“龙虾保”更是打造了“发现-保护-禁止”的全生命周期防护体系，可快速排查企业内网中的OpenClaw资产，对恶意技能进行拦截，对高风险场景实现强制禁用，通过“以Skill治理Skill”的模式，实现AI智能体的安全管控，目前已累计发现24个CVE漏洞和6个原创漏洞，实战防护能力得到充分验证。

行业标准的建立，为OpenClaw生态的健康发展划定安全底线。深圳龙岗推出的“龙虾十条”专项扶持政策，明确将安全合规作为产业支持的前提，构建“技术、管理、生态”三位一体的安全防控体系。在技术层面，所有政务类OpenClaw应用强制本地化部署与网络隔离，实施“最小权限原则”与“人在回路制度”，关键操作须人工审核；在管理层面，制定安全准入规范，让AI开发运营有章可循；在生态层面，引导国产化硬件加持，从底层保障数据安全自主可控。这一政策不仅为OpenClaw的产业化落地提供了支持，也为行业建立AI智能体安全标准提供了参考。

五、启示：AI 执行时代的安全哲学

OpenClaw的安全危机，从来不是一款产品的单一问题，而是整个AI执行时代必须面对的共性课题。它给行业敲响了警钟：AI能力越强，安全责任越大，脱离安全保障的技术创新，终将走向歧途。未来，AI智能体的发展必须摒弃“重功能、轻安全”的理念，坚守三大安全原则，筑牢安全底线，才能实现可持续发展。

其一，坚守权限最小化原则，拒绝默认高权限。权限是AI智能体的“双刃剑”，既要保障其实现自主执行功能，也要避免权限滥用带来的安全风险。未来，AI智能体的设计应采用“按需授权、分级管控”的模式，仅授予完成任务所需的最小权限，关闭不必要的高权限，同时为用户提供精细化的权限设置选项，让用户可根据自身需求调整权限范围，从源头降低安全风险。正如深圳“龙虾十条”所要求的，禁止智能体拥有无约束系统权限，严格限制文件系统访问范围，让权限管控成为安全防护的第一道防线。

其二，推动安全左移，将安全融入开发全流程。开源项目的快速迭代不能以牺牲安全为代价，未来，开源AI智能体项目应建立专业的安全审计团队，将安全审计融入代码开发、功能测试、版本迭代的每一个环节，提前发现并修复安全漏洞；同时，建立透明的安全机制，公开漏洞披露流程和修复进度，接受社区和市场的监督，形成“开发-审计-修复-优化”的良性循环。对于开发者而言，也应强化安全意识，在贡献代码时注重安全防护，避免引入安全隐患。

其三，实现信任可控，让用户掌握AI行为的主动权。AI智能体的自主执行，不能脱离用户的掌控，未来，AI智能体应具备一键暂停、权限审计、行为回溯等功能，让用户可实时查看AI的操作行为，随时终止异常操作，追溯操作记录；同时，应建立清晰的安全提示机制，当AI需要获取高权限、访问敏感数据时，及时向用户发出提示，获得用户确认后再执行操作，让用户真正做到“看得见、管得住、禁得掉”。

OpenClaw的安全危机不是终点，而是整个AI执行行业走向成熟的起点。它让我们深刻认识到，AI技术的发展，既要追求功能的突破，也要坚守安全的底线；既要拥抱开源开放的生态，也要建立完善的安全防护体系。唯有平衡好技术创新与安全保障的关系，坚守安全原则，完善防护机制，才能让AI智能体真正成为赋能个人、企业、产业的强大工具，推动AI执行时代健康、可持续发展，让技术红利真正惠及每一个人。