OpenClaw 安全：Cisco 发现了什么，如何修复

如果您看到过那些标题 —— 135,000 个暴露实例、一个 CVSS 8.8 的远程代码执行漏洞、官方市场中 1,000 多个恶意插件 —— 并想弄清楚到底哪里坏了、您需要做什么，这就是那份指南。

这些不是小数字。官方市场出现 1,184 个已确认恶意的 skill,不是边缘事件，而是系统性失败。CVE 已公开，攻击行动有了名字(ClawHavoc),修复方法也很具体。整套修复大约 30 分钟。

精简版：您现在该做什么#

如果时间紧张，以下是三步不可妥协的操作:

升级到 OpenClaw v2026.1.29 或更高版本#

npm install -g openclaw@latest
openclaw --version

在做其他任何事之前，先确认版本为 v2026.1.29 或更高。如果不是，先停用该安装直到升级完成。CVE-2026-25253 允许对任何未修补实例进行一键远程代码执行。

立刻轮换您的网关令牌和 authToken#

openclaw auth rotate

这会使此前颁发的所有令牌失效。即便是全新安装也要做。如果您的实例在未修补状态下运行过任何时间，打补丁之后再轮换一次。

根据 ClawHavoc 指标列表审计每一个已安装 skill#

在 ClawHub 管理器中打开已安装 skill 列表。将每一个已安装 skill 与 Repello AI、eSecurity Planet 和 Koi Security 公开发布的 ClawHavoc 指标列表交叉比对。任何命中都应立即移除，并按潜在入侵处理。完整响应流程见下文的 ClawHavoc 章节。

CVE-2026-25253：一键远程代码执行漏洞#

这个漏洞实际做什么#

CVE-2026-25253 是 OpenClaw 本地网关中的跨站 WebSocket 劫持漏洞。用直白的语言讲，这个攻击是这样的:

1. 您的机器上运行着 OpenClaw
2. 您访问一个由攻击者控制的网页
3. 该页面上的 JavaScript 打开一个到 ws://localhost:18789（或您使用的任何端口）的 WebSocket 连接
4. 网关接受连接，并把您的身份认证令牌泄露给该页面
5. 攻击者由此获得对您 OpenClaw 实例的完全管理员控制

这就是为什么它被称为「一键」—— 您加载恶意页面的那一刻，整条攻击链就完成了。没有提示，没有下载对话框。仅仅是页面加载。

CVSS 评分：8.8（高危）。披露时间：2026 年 2 月 1 日。已修复版本：v2026.1.29,于 2026 年 1 月 29 日发布（据 NVD / SOCRadar, February 2026)。

为什么这对仅绑定 loopback 的安装也有效#

这一点让很多人栽跟头。许多用户认为「我只在 localhost 上运行，就不会被远程利用」。对这类漏洞而言，这个假设是错的。

跨站 WebSocket 劫持利用的是浏览器对 WebSocket 连接在同源策略上的空隙。任何域名提供的网页都可以打开到 localhost 的 WebSocket —— 浏览器不会对 WebSocket 连接的建立强制同源限制（不像 XHR 或 fetch)。这种攻击把浏览器本身作为攻击载体。

如果您在与 OpenClaw 同一台机器上运行浏览器 —— 多数用户都是 —— 那么您「只绑定 loopback」的安装，对您访问的任何网页都是可达的。

完整攻击链：从恶意链接到 shell 访问#

1. 攻击者向您发送一个链接（邮件、Slack 消息、社交媒体）
2. 您在浏览器中打开它
3. 页面 JavaScript 调用 new WebSocket('ws://localhost:18789/ws')
4. OpenClaw 网关接受连接，并在握手中发送认证令牌
5. JavaScript 读取该令牌并转发到攻击者的服务器
6. 攻击者使用该令牌直接连接到您的网关 —— 无需您再做任何事
7. 攻击者随后可以访问 OpenClaw 能做的一切：读取您的文件、运行 shell 命令、调用您的 MCP 工具、从智能体内存中窃取凭证

v2026.1.29 的补丁添加了 Origin 头校验。网关现在会拒绝来自允许列表之外来源的 WebSocket 连接。

哪些版本受影响，哪些已修补#

• 受影响: 所有早于 v2026.1.29 的版本
• 已修补: v2026.1.29 及之后的所有发布版本
• 检查您的版本: openclaw --version

135,000 个暴露实例：数字背后的配置问题#

默认 Docker 搭建如何让您的网关对外开放#

SecurityScorecard 的 STRIKE 团队在 2026 年 2 月发现，全球 82 个国家有超过 135,000 个暴露在互联网上的 OpenClaw 实例。其中超过 12,800 个可被直接远程代码执行，观察到的部署中 63% 处于易受攻击配置(SecurityScorecard, February 2026)。

根本原因在于 OpenClaw 的默认 Docker 部署脚本。docker-setup.sh 脚本把 OpenClaw 网关绑定到 0.0.0.0:18789 —— 即所有网络接口，包括您面向公网的那一个。只要您的服务器有公网 IP 且没有防火墙规则阻挡该端口，互联网上任何机器都能访问您的网关。

遵循默认 Docker 教程的大多数用户 —— 尤其是在 VPS 或云虚拟机上部署的用户 —— 就在不知情的情况下让 18789 端口开放了。

在无认证网关上，攻击者能做什么#

拥有一个缺少认证的可访问网关时（某些版本分支也会默认如此），攻击者可以:

• 列出并读取您已安装的 skill
• 通过 OpenClaw 的智能体循环执行任务
• 访问智能体所连接的任何 MCP 工具（文件系统、邮箱、数据库、shell)
• 窃取智能体内存中存储的一切

认证会加一层令牌要求，但正如 CVE-2026-25253 所展示，补丁之前即使是有认证的网关也会被 WebSocket 劫持窃取令牌。两层都需要加固。

如何检查您的实例是否暴露#

要确认网关是否可从互联网访问，可以使用外部端口扫描工具（如 Shodan 的自查工具），或请可信方尝试连接 http://your-public-ip:18789。或者本地运行:

# 在 Linux/macOS 上,查看网关绑定到哪
ss -tlnp | grep 18789
# 或者
netstat -tlnp | grep 18789

如果您看到 0.0.0.0:18789 而非 127.0.0.1:18789,说明网关绑定到了所有接口。在连接到互联网之前，请在 OpenClaw 配置中修正这一点。

ClawHavoc：毒害 ClawHub 的供应链攻击#

1,184 个恶意 skill 是如何被发布到官方市场的#

ClawHub,OpenClaw 的官方 skill 市场，遭遇了一场协同的供应链攻击行动。Repello AI 的威胁研究团队将其命名为 ClawHavoc。

这次攻击利用了让病毒式开源项目脆弱的那种动态：增长速度超过了安全审查。ClawHub 在几周内从一个小型精选列表扩展到上千个社区提交的包，审核流程跟不上。

截至 2026 年 3 月 1 日，研究人员已确认 1,184 个恶意 skill。Repello AI 将其中 335 个追溯到同一威胁行为者。截至 2026 年 2 月 16 日，仍有超过 824 个在变体名下可被发现，核心行动基础设施依然活跃(eSecurity Planet / PointGuard AI / Koi Security, February-March 2026)。

ClawHavoc skill 安装后实际做什么#

投递手段是社会工程:

1. 您安装一个看似合法的 skill（日历工具、网页搜索集成、效率助手）
2. 该 skill 抛出一个伪造的错误:「安装失败 —— 运行此诊断命令以修复」
3. 这条「诊断命令」是一段 base64 编码的 shell 载荷
4. 解码并运行会下载并执行 Atomic Stealer(AMOS)—— 针对 macOS 的恶意软件

AMOS 会窃取:

• 浏览器凭证和会话令牌(Chrome、Safari、Firefox、Brave)
• Keychain 数据和 SSH 密钥
• Telegram 桌面会话数据
• 加密货币钱包文件和助记词

主要攻击面向 macOS,但后续研究中也发现了针对 Linux 的变体 skill。

如何识别并从您的安装中移除受影响的 skill#

打开 ClawHub skill 管理器并拉取完整的已安装 skill 列表。将其与 Repello AI 和 Koi Security 的 ClawHavoc 指标列表对照 —— 两者都维护着 IOC 登记处，其中包含受影响的包名和发布者哈希。

若有任何匹配，立即移除。然后轮换所有浏览器中存储的凭证，尤其是涉及金融账户、邮箱或云服务的那些。检查 ~/.ssh/authorized_keys 是否存在未知密钥，运行 macOS Malware Removal Tool 或您的终端安全工具，并吊销您在 OpenClaw 配置中存储的任何 API 密钥。

如果您拿不准某个 skill 是否受影响，无论如何先移除它。重装一个干净的 skill 只要几分钟，从凭证被盗中恢复要耗费长得多的时间，而且您未必会知道它已经发生了。

OpenClaw 的实用加固清单#

打补丁与令牌轮换#

• 确认版本为 v2026.1.29 或更高:openclaw --version
• 如未打补丁，立即运行 npm install -g openclaw@latest
• 轮换所有认证令牌:openclaw auth rotate
• 打补丁并轮换后重启网关

网关认证与来源校验#

• 确认要求认证:openclaw config get gateway.requireAuth
  • 如果是 false 或为空:openclaw config set gateway.requireAuth true
• 将允许的来源设置为仅限 localhost:

  openclaw config set gateway.allowedOrigins "http://localhost:18789,http://127.0.0.1:18789"

• 重启网关，并验证来自其他来源的连接会被拒绝

网络分段：家庭与 VPS 安装#

家庭网络安装:

• 将网关仅绑定到 loopback:openclaw config set gateway.host 127.0.0.1
• 验证绑定:ss -tlnp | grep 18789 —— 应显示 127.0.0.1:18789

VPS/云安装:

• 仅绑定 loopback（同上）
• 添加防火墙规则阻止对 18789 端口的外部访问（在 Ubuntu 上 ufw deny 18789)
• 如需远程访问，请使用 SSH 隧道，而不是暴露端口:ssh -L 18789:localhost:18789 user@your-server

插件审核与 ClawHub 信任策略#

• 根据当前 ClawHavoc IOC 列表审计所有已安装 skill
• 移除任何无法通过公开源码仓库验证的 skill
• 设置个人策略：只安装身份可验证且有公开源码仓库的发布者所发布的 skill
• 不要运行任何已安装 skill 提示您运行的「诊断命令」

持续的补丁卫生#

• 订阅 OpenClaw 安全公告(GitHub 通知或官方安全邮件列表）
• 安全补丁发布时立即运行 npm install -g openclaw@latest —— 不要等
• 在更新已有 skill 之前审查新的 skill 权限。ClawHavoc 式攻击也出现在 skill 更新中，不仅限于新安装。

何时 DIY 加固不够用#

此清单覆盖了个人 OpenClaw 安装的已知威胁面。对于大多数在本地网络上运行 OpenClaw 的家庭用户来说，照着做可以让您比 SecurityScorecard 盘点到的 135,000 多个暴露实例处在明显更安全的位置。

话虽如此，对某些部署而言，改几行配置并不是全部:

如果您的安装跑在 VPS、有公网 IP 的家庭服务器，或不止您一人有访问权的办公网络中，攻击面就与纯本地家用安装不同。网络分段、防火墙规则和持续监控所需要的，不只是一些配置更改。

多人部署且有访问公司数据的权限时，需要基于角色的访问控制、审计日志、书面的 MCP 工具访问范围，以及员工离职时的凭证轮换流程。这些都不在默认设置里。

而任何处理 HIPAA、SOC 2 或 GDPR 数据的部署都需要有书面的加固范围、访问控制和审计轨迹 —— 能跑起来的安装，与合规安装不是一回事。

Silverthread Labs 把 OpenClaw 加固作为独立服务，也作为完整部署服务的一部分。我们负责打补丁、配置、根据 ClawHavoc 指标审核已安装 skill,并交付一份可用于合规存档的书面报告。查看 OpenClaw 部署服务 或 直接联系我们 讨论您的场景。

常见问题#

我现在的 OpenClaw 安装被攻破了吗？

如果您运行过早于 v2026.1.29 的版本且网关绑定到 0.0.0.0,请将其视为可能已被入侵。轮换所有凭证，检查有无未知进程或计划任务，并执行上文的 ClawHavoc 移除步骤 —— 即便您不认识任何已安装 skill 的名字。

我用的是 v2026.1.29,但从未设置认证 —— 我有风险吗？

如果您已打补丁且配置了来源校验，则不会被 WebSocket 令牌窃取攻击影响。但如果网关认证被关闭，任何能访问您端口的攻击者（例如在 VPS 上）都可以无凭证地与您的实例交互。请开启认证并锁紧绑定地址。

ClawHavoc 攻击影响 Windows 用户吗？

Atomic Stealer 载荷针对 macOS。针对 Linux 的变体 skill 后来也被识别。Windows 用户并非绝对安全 —— 已记录到不同的载荷变种 —— 因此无论如何都要审核您已安装的 skill。

如何及时了解未来 OpenClaw 漏洞？

关注 OpenClaw 的 GitHub 仓库(github.com/openclaw/openclaw)的安全公告，并为发布启用邮件通知。披露流程见主仓库中的 SECURITY.md。SecurityScorecard 的 STRIKE 团队和 Repello AI 的威胁研究源，也值得关注以获取供应链预警。

Silverthread Labs 在一次加固服务中会检查什么？

版本核查、打补丁、令牌轮换、强制启用网关认证、来源校验、网关绑定地址与防火墙核对、针对 ClawHavoc IOC 列表的完整已安装 skill 审计、MCP 服务器权限审查，以及一份书面加固报告。对企业级安装，我们还会配置 RBAC、审计日志，并记录每个已连接 MCP 服务器的访问范围。