OpenClaw 近期全面 “翻车”：漏洞、恶意插件、版本 Bug 齐爆发，普通用户请立即警惕

OpenClaw 近期全面 “翻车”：漏洞、恶意插件、版本 Bug 齐爆发，普通用户请立即警惕

最近开源 AI 智能体框架 OpenClaw（原 Moltbot） 接连曝出重大安全与稳定性问题，从高危漏洞、ClawHub 恶意插件泛滥，到最新版本（2026.3.31）严重 Bug，再到默认权限过高导致设备 “裸奔”，已经让大量用户遭遇数据泄露、系统被控制、账号封禁、插件失效等问题。如果你正在用或打算用 OpenClaw，务必看完这篇最新风险解析。
一、OpenClaw 到底是什么？

OpenClaw 是一款主打本地私有化部署、自然语言操控电脑、自动执行复杂任务的开源 AI 智能体框架，能让大模型直接读写文件、运行命令、调用工具、联网、操作软件，一度被开发者和职场人追捧为 “效率神器”。但它本质是高权限系统级工具，不是普通聊天机器人，设计上就自带极高风险。
二、近期最严重的 4 类核心问题（2026 年 3-4 月最新）
1. 高危漏洞密集爆发，远程一键接管设备
蚂蚁安全实验室 3 月底专项审计，一次性发现33 个漏洞，其中1 个严重、4 个高危、3 个中危，已在 2026.3.28 版本修复，但大量用户未升级仍处于风险中36氪：
GHSA-qxgf-hmcj-3xw3（SSRF 漏洞）：未授权攻击者可通过伪造请求，让 OpenClaw 访问内网 / 敏感资源，窃取 API 密钥、服务器配置、本地文件。
CVE-2026-25253（ClawJacked）：跨站 WebSocket 劫持 + 弱口令，黑客可远程获取网关令牌、暴力破解，完全接管 OpenClaw 实例，执行任意系统命令、窃取所有数据，CVSS 评分 9.8（最高危）。其他漏洞：命令注入、权限绕过、文件路径遍历、未授权访问管理端口（默认 18789/19890），公网部署几乎等于 “裸奔”，黑客扫描即可一键入侵。

2. ClawHub 恶意插件泛滥，供应链攻击 “Claw Havoc”
OpenClaw 的插件市场 ClawHub 缺乏严格审核，1 月底爆发大规模供应链攻击（命名为Claw Havoc）：
约20% 的 Skill（技能插件）含恶意代码，伪装成文件处理、自动化、下载工具，后台窃取 API 密钥、SSH 私钥、钱包、浏览器密码、本地敏感文件，植入挖矿、反向 Shell、木马。
3 月 VirusTotal 审计仍发现100 + 恶意 Skill，普通用户根本无法分辨，安装即中招，设备沦为 “肉鸡”。风险：提示词注入攻击 —— 恶意网页 / 文档嵌入隐藏指令，诱导 OpenClaw“忽略规则、泄露数据、执行恶意命令”，防不胜防。

3. 最新版本（2026.3.31）严重 Bug，直接导致无法使用
4 月 1 日发布的 v2026.3.31 被社区证实存在致命问题，大量用户升级后崩溃：
核心 Bug：插件加载失败、捆绑依赖缺失、Android 端完全崩溃、后台定时任务 / 子代理无法执行，Windows/Linux/macOS 全平台受影响。
官方应对：未紧急修复，仅建议回滚到 2026.3.28（命令：npm install -g openclaw@2026.3.28 && openclaw gateway restart）。
附加问题：新版本强制开启命令执行审批（Exec Approvals），默认白名单 + 每次确认，导致自动化完全失效、体验断崖式下降。

4. 权限失控 + 默认配置裸奔，普通用户 “主动送权限”
这是最根本的设计风险，也是所有问题的根源：
默认最高权限：以启动用户（常为管理员 /root）运行，可读写全盘、删文件、执行 Shell、访问所有敏感数据，一旦被利用，攻击者获得的是完整系统控制权，不是受限权限。
端口暴露无防护：默认监听 18789/19890，无 Token、无认证、无 IP 限制，公网部署直接被黑客批量扫描入侵。
API 滥用封号：大量用户通过 OpenClaw 调用 GPT、Claude、Gemini 等，触发平台风控，导致账号永久封禁、API 密钥拉黑、余额清零，无法申诉。

三、这些问题会带来什么实际损失？
个人用户：隐私照片、文档、密码、钱包、API 密钥被窃取；系统被删库、文件丢失、设备变肉鸡挖矿；账号被封、财产损失。
企业 / 开发者：服务器被入侵、代码泄露、生产数据丢失、业务瘫痪、合规风险。
普通用户：90% 不会安全配置，盲目安装 =“给黑客开了管理员大门”。
四、安全使用与应急建议（立即执行）

1. 立即降级 / 禁用（最紧急）
已升级到 2026.3.31：立即回滚到 2026.3.28，不要等修复。
公网部署、未加固：立即停止使用、关闭端口、断开公网访问。

2. 安全加固（必须做）
关闭默认端口 18789/19890，仅本地 127.0.0.1 访问，绝不公网暴露。
启用强密码 + Token 认证 + IP 白名单，关闭匿名访问。
只安装官方认证、开源可审计的 Skill，绝对不要装来源不明的第三方插件。
限制 OpenClaw 权限：用普通用户（非管理员 /root）运行，仅开放必要目录权限。
升级到2026.3.28 及以上修复版，及时打补丁。

3. 普通用户建议：暂时别用
OpenClaw 目前仍处于高度实验性阶段，安全机制不完善、生态混乱、风险极高，非专业开发者 / 安全人员，强烈建议暂停使用，等待官方完善安全与审核机制后再考虑。