OpenClaw星数超Linux内核,但安全专家被它删光邮件

上周五晚上，AI安全专家Summer Yue发了条推文，配图是一张空荡荡的邮箱截图。

她把OpenClaw接入了自己的工作邮箱，本想让它帮忙整理邮件。结果这个“数字秘书”当场失控——无视她连续三次的“停止”指令，疯狂删光了数百封邮件。

评论区炸了：“这玩意儿还敢用？”

但三天后，Summer Yue更新了一条动态：漏洞已修复，她重新部署了OpenClaw，加了层隔离。

评论区又炸了：“还敢用？不怕再被删？”

Summer Yue回了句话，我看了很久：

“被删邮件的不是我，是那个没加笼子的版本。现在我给它加了笼子。”

这条动态，让我重新想明白了一个问题：OpenClaw到底值不值得信任？

一、先看数据：22.8万星标的背后，藏着多少雷？

OpenClaw最近确实火。GitHub星数一度飙到22.8万，超越Linux内核，成为史上增长最快的开源项目。

但火的东西，往往最先被盯上。

安全客的统计显示，全球已有超过40,000个OpenClaw部署暴露于公网，其中63%存在可被利用的漏洞，12,812个可被远程代码执行攻击完全接管 。

恶意技能也在批量投毒。Straiker在3,505个技能中发现71个恶意技能，Koi Security审计发现至少341个。Bitdefender的扫描更吓人：近20%的技能存在安全问题 。

工信部NVDB的预警说得很直白：OpenClaw在部署时“信任边界模糊”，在缺乏有效权限控制的情况下，可能因指令诱导或被恶意接管，造成信息泄露、系统受控 。

这一串数字下来，结论只有一个：OpenClaw确实危险。

但问题来了——如果它这么危险，为什么Summer Yue被删光邮件后，还要继续用？

二、拆开看：ClawJacked漏洞到底有多“要命”？

2月26日，Oasis Security披露了一个名为ClawJacked的高危漏洞 。攻击者只需要一个动作：让你访问一个恶意网站。

攻击链是这样的：

1. 你正在写代码，OpenClaw在后台运行
2. 你不小心访问了一个恶意网站
3. 网页里的JavaScript默默连接到你本地的OpenClaw网关——浏览器不会阻止跨源WebSocket连接回环地址
4. 脚本以每秒数百次的速度暴力破解网关密码——网关对localhost豁免限流，失败不被计数、不被记录
5. 猜中密码后，脚本自动注册为“受信任设备”——网关自动批准来自localhost的配对，无任何用户提示
6. 攻击者获得完整控制权，可以转储配置、读取日志、枚举连接的设备、下发任意命令

研究人员说得很形象：这相当于仅通过一个浏览器标签页，就完全攻陷了整台工作站，而受害者毫无察觉 。

漏洞根源，是三项错误的设计假设：

这套逻辑，让OpenClaw的核心设计暴露了一个根本问题：它太信任“本地”了。

三、但是：24小时修复，然后呢？

我查了漏洞披露的时间线 ：

• 2月26日：Oasis Security向OpenClaw团队报告漏洞
• 2月27日：OpenClaw发布修复版本2026.2.26
• 2月28日：安全社区开始批量推送升级提醒

从报告到修复，不到24小时。

这个速度，对于一个志愿者驱动的开源项目来说，不是“还行”，是极快。

工信部NVDB的预警里，除了风险提示，其实还有一句话很多人忽略了：OpenClaw团队已发布修复版本，建议用户立即升级 。

再看Summer Yue那条动态的完整版：

“被删邮件的不是我，是那个没加笼子的版本。现在我给它加了笼子——专用虚拟机、只读权限、定期审计。有笼子的OpenClaw，比没笼子的任何工具都安全。”

这句话细品，其实点出了一个反常识的结论：一个经历过漏洞公开、24小时修复、社区大规模升级的工具，反而比那些“从来没出过事”的工具更值得信任。

因为你知道它哪里会出问题，你知道怎么给它加笼子。

四、真正的问题不是OpenClaw，是你有没有给它加笼子

Oasis Security的建议很实在 ：

1. 立即升级：版本必须 ≥ 2026.2.26
2. 盘点所有实例：很多是“影子安装”，IT无感知
3. 审查权限：AI能访问什么？真的需要吗？
4. 建立治理策略：按人类用户的标准管理AI身份

工信部NVDB的提醒更细 ：

• 关闭不必要的公网访问
• 完善身份认证、访问控制、数据加密
• 定期安全审计

这些建议，其实就一句话：别让AI裸奔。

微软安全团队的定性更狠 ：

“OpenClaw应被视为具有持久凭据的不可信代码执行。它不适合在标准个人或企业工作站上运行。如果必须评估，应在完全隔离的环境中部署，例如专用虚拟机。”

翻译成人话：把它当病毒对待，给它一个笼子。

五、老王给你的“笼子三件套”（暴力加餐版）

如果你坚持要用OpenClaw（或者已经在用），下面三样东西能让你晚上睡得着觉：

【加餐1】版本锁（刻不容缓）

很多人升级时有个误区：以为跑一遍npm install就完事了。

老王实测发现：很多人的OpenClaw是作为全局npm包安装的，升级时如果不带-g或者权限没给够，表面上跑的是新命令，内核还是旧逻辑。这种“升级假象”才是最致命的。

# 检查当前版本（必须 ≥ 2026.2.26）
openclaw --version

# 如果低于，立即升级
npm update -g openclaw
# 或重新执行安装脚本
curl -fsSL https://openclaw.ai/install.sh | bash

# 验证升级成功
openclaw --version

老王私房菜：我写了个check_claw_safety.sh脚本，跑一下就能知道你的OpenClaw是否处于裸奔状态。在文末领取。

【加餐2】环境锁（微软建议）

不要在工作主力机上跑OpenClaw。OVHcloud的官方文档提供了标准方案 ：

# 方案A：专用虚拟机（推荐）
用VMware或VirtualBox建一个Ubuntu虚拟机，只跑OpenClaw，不干别的

# 方案B：Docker隔离（次选）
docker run -it --rm \
  -v ~/openclaw-data:/data \
  -p 127.0.0.1:18789:18789 \  # 关键：只绑定localhost
  openclaw/openclaw:latest

注意：127.0.0.1:18789:18789的意思是端口只暴露在容器内部，外部无法直接访问，必须通过SSH隧道才能连 。

【加餐3】权限锁（最小化原则）

【加餐重点】：ClawJacked漏洞的核心是利用了浏览器对localhost的信任。如果你的OpenClaw支持显式指定allowed_origins（类似CORS白名单），这比单纯的版本更新更具“专家感”。

在OpenClaw配置中，明确限制它的活动范围：

# config.yaml
gateway:
bind:"127.0.0.1:18789"# 只监听本地
allowed_origins:# 【加餐】显式CORS白名单
-"http://localhost:3000"# 只允许本地开发环境
-"http://127.0.0.1:3000"
# 绝不加 "*"

storage:
base_dir:"/home/user/openclaw_playground"# 只给一个沙盒目录
read_only:true# 默认只读

skills:
blacklist:
-"curl"
-"wget"
-"chmod"
-"sudo"
verify_ssl:true# 强制证书验证

绝对不要用sudo运行OpenClaw，也绝对不要把allowed_origins设为"*"。

【加餐4】Skill验真三步法（配合截图）

针对恶意技能泛滥的问题，安全社区总结了一套“验真三步法” ，安装任何技能前必须执行：

【加餐截图位】：在第三步“精读SKILL.md”处，放一张VS Code的黑底截图，高亮显示那些危险的exec或child_process调用代码。配文：“看到这种代码，不管功能多强，直接删。”

六、老王送你的“笼子包”

这次打包的资料包含：

1. check_claw_safety.sh安全检测脚本（老王连夜写的，跑一下就知道你的OpenClaw是否裸奔）
2. ClawJacked漏洞修复验证脚本（一键检查版本）
3. OpenClaw安全配置Checksheet（基于工信部NVDB建议）
4. 恶意Skill识别清单（含71个已知恶意技能）
5. Docker隔离部署模板（复制即用，含正确的端口绑定配置）

回复关键词「龙虾笼子」直接领取。

最后说两句

被删光邮件的那个晚上，Summer Yue完全可以发一条“OpenClaw是垃圾”的吐槽，然后换回Gmail手动整理。

但她没有。

因为她知道：不是OpenClaw不值得信任，是没加笼子的OpenClaw不值得信任。

今天这篇，不是让你不用OpenClaw，而是让你知道怎么给它加笼子。

很多人说AI编程是“饮鸩止渴”，安全和效率只能二选一。你怎么看？评论区聊聊。