北京航空航天大学的一个团队最近发布了一款名为ClawGuard Auditor的开源安全防御工具,旨在为龙虾提供安全防护,并提出了九项高风险的缓解策略。
JayClawGuard Auditor是一款专门针对龙虾的安全工具。
该项目由北航复杂关键软件环境全国重点实验室智能安全创新团队主导。
用户对AI系统的权限设置过高,这导致了潜在的安全隐患。
为了应对这一挑战,北航团队正式发布了一份全面的安全报告。
他们同时开源了OpenClaw安全工具ClawGuard Auditor。
该工具能够检测恶意Skill并生成安全审查报告。
ClawGuard Auditor作为底层的安全守护进程,在系统最高特权层运行。
它可以对所有外部指令和技能执行最高否决权,确保用户本地系统资产的安全。
报告中还列出了九大高风险并提供了相应的防护建议。
ClawGuard Auditor在防御机制上做到了动静结合,三位一体。
它在三个方面具有核心优势:全面的安全能力、全生命周期覆盖和高可用性。
它不仅具备静态应用安全测试审查器,还在运行时实现透明监管,并全程监控内存和网络数据。
ClawGuard Auditor的防御原理基于四大不可被篡改的公理。
这些公理包括绝对覆盖原则、零信任原则、语义意图匹配机制、令牌模型和最小特权机制。
这些机制确保了系统的安全,防止了未经授权的行为。
针对OpenClaw智能体,研究团队发布了行业内首份《OpenClaw智能体安全风险报告》。
该报告在多维度扩展安全风险、构建完整闭环风险体系和提供动态检测建议方面具有显著优势。
报告按照全面覆盖、可追溯和可查证的原则,构建了六大安全风险体系。
具体包括指令与模型安全、交互与输入安全、执行与权限安全、数据与通信安全、接口与服务安全、部署与供应链安全。
针对这些风险,报告提供了详细的缓解措施,涵盖不同风险等级。
风险包括恶意输入、沙箱逃逸、路径遍历、越权操作、敏感信息存储、默认账号、接口越权、第三方依赖漏洞和非官方插件。
这些风险对OpenClaw智能体的系统完整性、数据保密性、执行可控性和审计可追溯性造成了影响。
针对每个风险,团队提出了相应的防护与处置建议,优先处理高危风险。
对于指令与模型安全,建议建立恶意文本特征库,强化模型输出审核。
在交互与输入安全方面,建议过滤恶意输入并识别异常交互。
对执行与权限安全,建议启用严格模式沙箱隔离和命令、文件、路径白名单。
数据与通信安全方面,建议敏感数据加密存储,全面启用HTTPS/TLS。
接口与服务安全,建议关闭公网暴露,设置强密码、token鉴权。
部署与供应链安全,建议定期扫描第三方依赖CVE漏洞,仅从官方渠道下载插件。
为了确保安全,建议用户完善安全机制。
GitHub地址:https://github.com/SafeAgent-Beihang/clawguard
- 指令与模型安全:聚焦提示词注入、模型幻觉、模型后门等核心风险;
- 交互与输入安全:覆盖恶意输入注入、诱导性交互等攻击场景;
- 执行与权限安全:重点关注沙箱逃逸、越权操作、高危动作执行等风险;
- 数据与通信安全:包含敏感数据存储、传输加密、数据污染等风险;
- 接口与服务安全:聚焦未授权访问、接口越权、暴力破解等隐患;
- 部署与供应链安全:涵盖第三方依赖漏洞、恶意插件、日志缺失等风险。
△OpenClaw安全风险体系示意图
报告按照所提出的风险体系,结合近期公开披露的漏洞公告(CVE / GHSA),整理出与OpenClaw智能体相关的典型安全风险事件,并给出相应的缓解措施,如下表所示。
九大高危风险
报告将OpenClaw安全风险划分为三个等级(低级、中级、高级),共识别如下OpenClaw核心高危风险9项。
均为当前最易被利用、危害最大的核心风险。这些风险既包括传统系统安全问题,也包括智能体系统特有风险。
- 提示词注入与指令劫持
攻击者通过构造恶意输入或隐藏指令,诱导智能体绕过原有安全约束并执行攻击者指定操作。
- 沙箱逃逸与越权执行
若智能体执行环境隔离机制存在漏洞,攻击者可能通过构造特定输入绕过沙箱限制,执行系统命令或访问敏感资源,最终实现系统级控制。
- 路径遍历与越权文件操作
攻击者利用路径遍历字符(如../)访问系统敏感文件。
如配置文件、密钥文件或日志文件,从而获取关键系统信息或篡改系统配置。
- 无限制高危动作执行
智能体若缺乏严格的动作权限控制,可执行高危操作。
例如删除文件、关闭服务、发送外部网络请求等,一旦被攻击者诱导,将直接影响系统稳定性。
- 敏感数据明文存储
系统日志、用户凭证、API 密钥等敏感信息若以明文形式存储,一旦服务器被访问或日志泄露,攻击者可快速获取大量敏感数据。
- 未授权访问与默认口令
系统若使用默认账号或弱认证机制,攻击者可通过扫描工具进行暴力破解或批量攻击,实现远程接管系统。
- 接口越权与权限滥用
若系统接口缺乏细粒度权限控制,攻击者可通过构造请求越权调用控制接口,执行敏感操作或访问内部数据。
- 第三方依赖漏洞(CVE)
OpenClaw依赖的开源组件若存在公开漏洞,攻击者可利用已知漏洞实施远程攻击,执行恶意代码或提升系统权限。
- 插件来源不可信与投毒
自非官方渠道的插件或扩展组件可能包含恶意代码或后门,一旦被加载至系统, 将对智能体运行环境和数据安全造成严重威胁。
本次梳理的所有风险,主要影响OpenClaw智能体的四大安全目标。
结合行业公开事件,具体影响系统完整性、数据保密性、执行可控性、审计可追溯性。
防护建议
结合本次梳理的风险点、行业安全最佳实践及权威机构防护要求,团队对每类风险提出了如下针对性防护与处置建议,优先处置高危风险,逐步完善防护体系。
- 指令与模型安全:阻断注入,严控输出
建立恶意诱导文本特征库,过滤注入意图输入;
强化模型输出审核,对敏感信息脱敏;
规范训练/微调流程,防范数据投毒;
固定安全指令边界,禁止泄露核心信息。
- 交互与输入安全:过滤恶意输入,识别异常交互
建立输入安全过滤机制,校验恶意命令;
设置交互频率阈值,阻断连续诱导、疲劳提问;
高危场景采用固定回复模板,增加人工复核。
- 执行与权限安全:最小权限,严格隔离
启用严格模式沙箱隔离,限制系统核心资源访问;
实施命令、文件、路径白名单,拦截高危操作;
以低权限用户运行,高危动作增加二次确认和紧急停止功能。
- 数据与通信安全:加密存储传输,数据权限管控
敏感数据(密钥、凭证、日志)加密存储,禁止明文;
全面启用HTTPS/TLS 1.3,禁用 HTTP明文传输;
清洗审计训练、知识库数据,防范恶意数据混入;
建立数据访问权限管控与审计机制,实施最小权限访问。
- 接口与服务安全:严控访问,强化鉴权
关闭公网暴露,仅允许内网、可信IP访问;
禁用默认账号、口令,设置强密码、token鉴权并定期轮换;
接口全链路鉴权,设置访问频率限制、验证码。
- 部署与供应链安全:溯源依赖,完善审计
定期扫描第三方依赖CVE漏洞,及时升级修复;
仅从官方渠道下载插件,启用签名验证与黑名单机制;
开启全流程日志采集,加密存储;
建立常态化安全巡检机制。
在此建议各位养虾er把安全机制拉满,用虾不翻车~
GitHub地址:https://github.com/SafeAgent-Beihang/clawguard