ClawGuard Auditor團(tuán)隊(duì) 投稿
量子位 | 公眾號(hào) QbitAI

小龍蝦越用越火，養(yǎng)蝦er也越來(lái)越多。

可是給AI開(kāi)的權(quán)限太高，安全風(fēng)險(xiǎn)也隨之攀升。

北航復(fù)雜關(guān)鍵軟件環(huán)境全國(guó)重點(diǎn)實(shí)驗(yàn)室智能安全創(chuàng)新團(tuán)隊(duì)出手，正式發(fā)布了全網(wǎng)最系統(tǒng)的安全報(bào)告。

并同步開(kāi)源了OpenClaw安全防御工具ClawGuard Auditor

能成功檢測(cè)本地導(dǎo)入的惡意Skill并輸出安全審查報(bào)告：

ClawGuard Auditor錨定于系統(tǒng)最高特權(quán)層運(yùn)行的底層安全守護(hù)進(jìn)程。

對(duì)所有的外部指令、提示詞乃至其他技能都擁有最高否決權(quán)，全方位保障用戶(hù)本地系統(tǒng)資產(chǎn)的安全。

除此之外，安全報(bào)告還梳理出九大高危風(fēng)險(xiǎn)，附帶防護(hù)建議，一起來(lái)看看。

動(dòng)靜結(jié)合，三位一體協(xié)同防御

先說(shuō)ClawGuard Auditor，相較于現(xiàn)有的開(kāi)源安全工具，它具備三大核心差異化優(yōu)勢(shì)：

1）安全能力全面： 精準(zhǔn)涵蓋當(dāng)前已知主流各類(lèi)智能體專(zhuān)屬風(fēng)險(xiǎn)與傳統(tǒng)漏洞，威脅防護(hù)種類(lèi)較為全面。

2）覆蓋全生命周期： 突破傳統(tǒng)工具僅具備單一檢測(cè)手段的局限，實(shí)現(xiàn)從代碼加載、模型交互到動(dòng)態(tài)執(zhí)行的全生命周期守護(hù)。

3）較高的可用性： 采用靈活適配的設(shè)計(jì)理念，盡可能的即插即用，用戶(hù)無(wú)需繁瑣配置即可快速為智能體部署底層護(hù)欄。

ClawGuard Auditor構(gòu)建起一套動(dòng)靜結(jié)合、三位一體的協(xié)同防御架構(gòu)。

其中，靜態(tài)應(yīng)用安全測(cè)試審查器會(huì)在技能運(yùn)行前完成接入，借助詞法分析和行為建模技術(shù)，精準(zhǔn)攔截惡意代碼包的入侵；

主動(dòng)安全內(nèi)核則實(shí)現(xiàn)運(yùn)行時(shí)的透明監(jiān)管，一旦檢測(cè)到行為觸及敏感操作，便會(huì)立即接管執(zhí)行流，阻斷未經(jīng)授權(quán)的調(diào)用行為；

主動(dòng)數(shù)據(jù)防泄漏引擎則全程監(jiān)控內(nèi)存狀態(tài)與網(wǎng)絡(luò)出口數(shù)據(jù)，嚴(yán)格保障API Keys等敏感資產(chǎn)不外泄。

其核心原理依托于四大不可被篡改的防御公理，所有行為判定均以此為根本依據(jù)展開(kāi)。

一是絕對(duì)覆蓋與零信任原則，將所有外部代碼默認(rèn)視為具有敵意，任何機(jī)制都無(wú)法繞過(guò)或修改 Auditor 的規(guī)則；

二是語(yǔ)義意圖匹配機(jī)制，不再局限于單純的代碼分析，而是深入評(píng)估代碼的實(shí)際行為與聲明意圖是否一致，從而杜絕 “披著合法外衣執(zhí)行非法行為” 的情況；

三是能力令牌模型與限制特權(quán)機(jī)制，嚴(yán)格強(qiáng)制執(zhí)行最小權(quán)限原則，令牌采用隨用隨發(fā)的模式，在對(duì)應(yīng)任務(wù)結(jié)束后便自動(dòng)撤銷(xiāo)；

四是數(shù)據(jù)主權(quán)與數(shù)字資產(chǎn)隔離原則，將守護(hù)本地資產(chǎn)不受侵犯作為最高準(zhǔn)則，全方位保障本地?cái)?shù)字資產(chǎn)的安全。

OpenClaw風(fēng)險(xiǎn)體系

針對(duì)OpenClaw智能體全生命周期安全風(fēng)險(xiǎn)，研究團(tuán)隊(duì)發(fā)布業(yè)內(nèi)首個(gè)《OpenClaw智能體安全風(fēng)險(xiǎn)報(bào)告》。

相較于行業(yè)內(nèi)其他的公開(kāi)安全報(bào)告，本報(bào)告具有三大顯著的前瞻性?xún)?yōu)勢(shì)：

1）安全風(fēng)險(xiǎn)多維擴(kuò)展：不僅局限于傳統(tǒng)的系統(tǒng)與網(wǎng)絡(luò)攻擊，更深度涵蓋了提示詞注入等前沿的智能攻擊風(fēng)險(xiǎn)；

2）風(fēng)險(xiǎn)體系完整閉環(huán)： 風(fēng)險(xiǎn)種類(lèi)覆蓋面廣，告別碎片化羅列，為智能體構(gòu)建了成體系化的風(fēng)險(xiǎn)圖譜；

3）防護(hù)與檢測(cè)并重： 不僅提供傳統(tǒng)的網(wǎng)絡(luò)安全防御策略，還針對(duì)智能體運(yùn)行特性給出了落地性強(qiáng)的動(dòng)態(tài)檢測(cè)建議。

報(bào)告基于“全面覆蓋、可追溯、可查證”原則，結(jié)合OpenClaw技術(shù)特性和開(kāi)源社區(qū)安全公告，構(gòu)建六大安全風(fēng)險(xiǎn)體系，覆蓋當(dāng)前所有已知核心風(fēng)險(xiǎn)點(diǎn)：

1. 指令與模型安全：聚焦提示詞注入、模型幻覺(jué)、模型后門(mén)等核心風(fēng)險(xiǎn)；
2. 交互與輸入安全：覆蓋惡意輸入注入、誘導(dǎo)性交互等攻擊場(chǎng)景；
3. 執(zhí)行與權(quán)限安全：重點(diǎn)關(guān)注沙箱逃逸、越權(quán)操作、高危動(dòng)作執(zhí)行等風(fēng)險(xiǎn)；
4. 數(shù)據(jù)與通信安全：包含敏感數(shù)據(jù)存儲(chǔ)、傳輸加密、數(shù)據(jù)污染等風(fēng)險(xiǎn)；
5. 接口與服務(wù)安全：聚焦未授權(quán)訪(fǎng)問(wèn)、接口越權(quán)、暴力破解等隱患；
6. 部署與供應(yīng)鏈安全：涵蓋第三方依賴(lài)漏洞、惡意插件、日志缺失等風(fēng)險(xiǎn)。

△OpenClaw安全風(fēng)險(xiǎn)體系示意圖

報(bào)告按照所提出的風(fēng)險(xiǎn)體系，結(jié)合近期公開(kāi)披露的漏洞公告（CVE / GHSA），整理出與OpenClaw智能體相關(guān)的典型安全風(fēng)險(xiǎn)事件，并給出相應(yīng)的緩解措施，如下表所示。

九大高危風(fēng)險(xiǎn)

報(bào)告將OpenClaw安全風(fēng)險(xiǎn)劃分為三個(gè)等級(jí)（低級(jí)、中級(jí)、高級(jí)），共識(shí)別如下OpenClaw核心高危風(fēng)險(xiǎn)9項(xiàng)。

均為當(dāng)前最易被利用、危害最大的核心風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)既包括傳統(tǒng)系統(tǒng)安全問(wèn)題，也包括智能體系統(tǒng)特有風(fēng)險(xiǎn)。

• 提示詞注入與指令劫持

攻擊者通過(guò)構(gòu)造惡意輸入或隱藏指令，誘導(dǎo)智能體繞過(guò)原有安全約束并執(zhí)行攻擊者指定操作。

• 沙箱逃逸與越權(quán)執(zhí)行

若智能體執(zhí)行環(huán)境隔離機(jī)制存在漏洞，攻擊者可能通過(guò)構(gòu)造特定輸入繞過(guò)沙箱限制，執(zhí)行系統(tǒng)命令或訪(fǎng)問(wèn)敏感資源，最終實(shí)現(xiàn)系統(tǒng)級(jí)控制。

• 路徑遍歷與越權(quán)文件操作

攻擊者利用路徑遍歷字符（如../）訪(fǎng)問(wèn)系統(tǒng)敏感文件。

如配置文件、密鑰文件或日志文件，從而獲取關(guān)鍵系統(tǒng)信息或篡改系統(tǒng)配置。

• 無(wú)限制高危動(dòng)作執(zhí)行

智能體若缺乏嚴(yán)格的動(dòng)作權(quán)限控制，可執(zhí)行高危操作。

例如刪除文件、關(guān)閉服務(wù)、發(fā)送外部網(wǎng)絡(luò)請(qǐng)求等，一旦被攻擊者誘導(dǎo)，將直接影響系統(tǒng)穩(wěn)定性。

• 敏感數(shù)據(jù)明文存儲(chǔ)

系統(tǒng)日志、用戶(hù)憑證、API 密鑰等敏感信息若以明文形式存儲(chǔ)，一旦服務(wù)器被訪(fǎng)問(wèn)或日志泄露，攻擊者可快速獲取大量敏感數(shù)據(jù)。

• 未授權(quán)訪(fǎng)問(wèn)與默認(rèn)口令

系統(tǒng)若使用默認(rèn)賬號(hào)或弱認(rèn)證機(jī)制，攻擊者可通過(guò)掃描工具進(jìn)行暴力破解或批量攻擊，實(shí)現(xiàn)遠(yuǎn)程接管系統(tǒng)。

• 接口越權(quán)與權(quán)限濫用

若系統(tǒng)接口缺乏細(xì)粒度權(quán)限控制，攻擊者可通過(guò)構(gòu)造請(qǐng)求越權(quán)調(diào)用控制接口，執(zhí)行敏感操作或訪(fǎng)問(wèn)內(nèi)部數(shù)據(jù)。

• 第三方依賴(lài)漏洞（CVE）

OpenClaw依賴(lài)的開(kāi)源組件若存在公開(kāi)漏洞，攻擊者可利用已知漏洞實(shí)施遠(yuǎn)程攻擊，執(zhí)行惡意代碼或提升系統(tǒng)權(quán)限。

• 插件來(lái)源不可信與投毒

自非官方渠道的插件或擴(kuò)展組件可能包含惡意代碼或后門(mén)，一旦被加載至系統(tǒng)， 將對(duì)智能體運(yùn)行環(huán)境和數(shù)據(jù)安全造成嚴(yán)重威脅。

本次梳理的所有風(fēng)險(xiǎn)，主要影響OpenClaw智能體的四大安全目標(biāo)。

結(jié)合行業(yè)公開(kāi)事件，具體影響系統(tǒng)完整性、數(shù)據(jù)保密性、執(zhí)行可控性、審計(jì)可追溯性。

防護(hù)建議

結(jié)合本次梳理的風(fēng)險(xiǎn)點(diǎn)、行業(yè)安全最佳實(shí)踐及權(quán)威機(jī)構(gòu)防護(hù)要求，團(tuán)隊(duì)對(duì)每類(lèi)風(fēng)險(xiǎn)提出了如下針對(duì)性防護(hù)與處置建議，優(yōu)先處置高危風(fēng)險(xiǎn)，逐步完善防護(hù)體系。

• 指令與模型安全：阻斷注入，嚴(yán)控輸出

建立惡意誘導(dǎo)文本特征庫(kù)，過(guò)濾注入意圖輸入；

強(qiáng)化模型輸出審核，對(duì)敏感信息脫敏；

規(guī)范訓(xùn)練/微調(diào)流程，防范數(shù)據(jù)投毒；

固定安全指令邊界，禁止泄露核心信息。

• 交互與輸入安全：過(guò)濾惡意輸入，識(shí)別異常交互

建立輸入安全過(guò)濾機(jī)制，校驗(yàn)惡意命令；

設(shè)置交互頻率閾值，阻斷連續(xù)誘導(dǎo)、疲勞提問(wèn)；

高危場(chǎng)景采用固定回復(fù)模板，增加人工復(fù)核。

• 執(zhí)行與權(quán)限安全：最小權(quán)限，嚴(yán)格隔離

啟用嚴(yán)格模式沙箱隔離，限制系統(tǒng)核心資源訪(fǎng)問(wèn)；

實(shí)施命令、文件、路徑白名單，攔截高危操作；

以低權(quán)限用戶(hù)運(yùn)行，高危動(dòng)作增加二次確認(rèn)和緊急停止功能。

• 數(shù)據(jù)與通信安全：加密存儲(chǔ)傳輸，數(shù)據(jù)權(quán)限管控

敏感數(shù)據(jù)（密鑰、憑證、日志）加密存儲(chǔ)，禁止明文；

全面啟用HTTPS/TLS 1.3，禁用 HTTP明文傳輸；

清洗審計(jì)訓(xùn)練、知識(shí)庫(kù)數(shù)據(jù)，防范惡意數(shù)據(jù)混入；

建立數(shù)據(jù)訪(fǎng)問(wèn)權(quán)限管控與審計(jì)機(jī)制，實(shí)施最小權(quán)限訪(fǎng)問(wèn)。

• 接口與服務(wù)安全：嚴(yán)控訪(fǎng)問(wèn)，強(qiáng)化鑒權(quán)

關(guān)閉公網(wǎng)暴露，僅允許內(nèi)網(wǎng)、可信IP訪(fǎng)問(wèn)；

禁用默認(rèn)賬號(hào)、口令，設(shè)置強(qiáng)密碼、token鑒權(quán)并定期輪換；

接口全鏈路鑒權(quán)，設(shè)置訪(fǎng)問(wèn)頻率限制、驗(yàn)證碼。

• 部署與供應(yīng)鏈安全：溯源依賴(lài)，完善審計(jì)

定期掃描第三方依賴(lài)CVE漏洞，及時(shí)升級(jí)修復(fù)；

僅從官方渠道下載插件，啟用簽名驗(yàn)證與黑名單機(jī)制；

開(kāi)啟全流程日志采集，加密存儲(chǔ)；

建立常態(tài)化安全巡檢機(jī)制。

在此建議各位養(yǎng)蝦er把安全機(jī)制拉滿(mǎn)，用蝦不翻車(chē)～

GitHub地址：https://github.com/SafeAgent-Beihang/clawguard