ClawGuard Auditor团队向量子位提交了一篇文章 | 公众号 QbitAI
随着人们对AI工具的使用越来越频繁,参与其中的开发者也日益增多。
然而,随着AI工具权限的提升,安全风险也随之增加。
北京航空航天大学复杂关键软件环境全国重点实验室智能安全创新团队发布了一份详尽的安全报告。
同时,他们还开源了OpenClaw安全防御工具ClawGuard Auditor。
该工具能够检测恶意Skill并生成安全审查报告。
ClawGuard Auditor作为在系统最高特权层运行的底层安全守护进程。
它可以对所有外部指令、提示词及其他技能拥有最高否决权,从而全面保障用户本地系统的安全。
此外,安全报告还列出了九大高危风险,并提供了防护建议。
动静结合,三位一体协同防御
ClawGuard Auditor相比现有的开源安全工具,具有三大核心差异化优势:
1)全面的安全能力:涵盖当前主流的智能体专属风险与传统漏洞。
2)覆盖全生命周期:实现从代码加载、模型交互到动态执行的全程守护。
3)高可用性:采用灵活适配的设计理念,用户可以轻松快速地部署。
ClawGuard Auditor建立了一套动静结合、三位一体的协同防御架构。
其中,静态应用安全测试审查器会在技能运行前接入,通过词法分析和行为建模技术,精准拦截恶意代码包。
主动安全内核则实现运行时的透明监管,一旦检测到敏感操作,便会立即接管执行流,阻止未经授权的调用行为。
主动数据防泄漏引擎则全程监控内存状态与网络出口数据,确保API Keys等敏感资产不被泄露。
其核心原理基于四大不可被篡改的防御公理。
其中,绝对覆盖与零信任原则将所有外部代码视为具有敌意。
语义意图匹配机制不再局限于单纯代码分析,而是深入评估代码的实际行为与声明意图是否一致,从而避免合法外衣下的非法行为。
能力令牌模型与限制特权机制强制执行最小权限原则,令牌采用随用随发模式,任务结束后自动撤销。
数据主权与数字资产隔离原则则将本地资产的安全保护作为最高准则。
OpenClaw风险体系
研究团队发布了业内首个《OpenClaw智能体安全风险报告》。
相较于其他公开的安全报告,本报告具有三大显著的前瞻性优势:
1)安全风险多维扩展:不仅包括传统的系统与网络攻击,还涵盖了提示词注入等前沿智能攻击风险。
2)完整的风险体系:风险种类覆盖面广,构建了系统化的风险图谱。
3)防护与检测并重:不仅提供传统的网络安全防御策略,还针对智能体运行特性给出了实用的动态检测建议。
报告基于“全面覆盖、可追溯、可查证”原则,结合OpenClaw技术特性和开源社区安全公告,构建六大安全风险体系,覆盖当前所有已知核心风险点:
- 指令与模型安全:聚焦提示词注入、模型幻觉、模型后门等核心风险。
- 交互与输入安全:覆盖恶意输入注入、诱导性交互等攻击场景。
- 执行与权限安全:重点关注沙箱逃逸、越权操作、高危动作执行等风险。
- 数据与通信安全:包含敏感数据存储、传输加密、数据污染等风险。
- 接口与服务安全:聚焦未授权访问、接口越权、暴力破解等隐患。
- 部署与供应链安全:涵盖第三方依赖漏洞、恶意插件、日志缺失等风险。
OpenClaw安全风险体系示意图
报告依据所提出的风险体系,结合近期公开披露的漏洞公告(CVE / GHSA),整理出与OpenClaw智能体相关的典型安全风险事件,并给出相应的缓解措施。
九大高危风险
报告将OpenClaw安全风险划分为三个等级(低级、中级、高级),共识别了如下OpenClaw核心高危风险9项。
这些风险既包括传统系统安全问题,也包括智能体系统特有的风险。
- 提示词注入与指令劫持
攻击者通过构造恶意输入或隐藏指令,诱导智能体绕过原有安全约束执行攻击者指定操作。
- 沙箱逃逸与越权执行
若智能体执行环境隔离机制存在漏洞,攻击者可能通过构造特定输入绕过沙箱限制,执行系统命令或访问敏感资源,实现系统级控制。
- 路径遍历与越权文件操作
攻击者利用路径遍历字符(如../)访问系统敏感文件。
如配置文件、密钥文件或日志文件,获取关键系统信息或篡改系统配置。
- 无限制高危动作执行
缺乏严格动作权限控制的智能体可执行高危操作,例如删除文件、关闭服务、发送外部网络请求等,一旦被攻击者诱导,将直接影响系统稳定性。
系统日志、用户凭证、API 密钥等敏感信息若以明文形式存储,一旦服务器被访问或日志泄露,攻击者可快速获取大量敏感数据。
- 敏感数据明文存储
系统若使用默认账号或弱认证机制,攻击者可通过扫描工具进行暴力破解或批量攻击,实现远程接管系统。
- 未授权访问与默认口令
若系统接口缺乏细粒度权限控制,攻击者可通过构造请求越权调用控制接口,执行敏感操作或访问内部数据。
- 接口越权与权限滥用
第三方依赖漏洞(CVE)
- OpenClaw依赖的开源组件若存在公开漏洞,攻击者可利用已知漏洞实施远程攻击,执行恶意代码或提升系统权限。
非官方渠道的插件或扩展组件可能包含恶意代码或后门,加载至系统后,将对智能体运行环境和数据安全造成严重威胁。
- 插件来源不可信与投毒
所有梳理出的风险主要影响OpenClaw智能体的四大安全目标。
结合行业公开事件,具体影响系统完整性、数据保密性、执行可控性、审计可追溯性。
结合风险点、行业安全最佳实践及权威机构防护要求,团队对每类风险提出了如下针对性防护与处置建议,优先处理高危风险,逐步完善防护体系。
防护建议
指令与模型安全:阻断注入,严控输出
- 建立恶意诱导文本特征库,过滤注入意图输入;
强化模型输出审核,对敏感信息脱敏;
规范训练/微调流程,防范数据投毒;
固定安全指令边界,禁止泄露核心信息。
交互与输入安全:过滤恶意输入,识别异常交互
- 建立输入安全过滤机制,校验恶意命令;
设置交互频率阈值,阻断连续诱导、疲劳提问;
高危场景采用固定回复模板,增加人工复核。
执行与权限安全:最小权限,严格隔离
- 启用严格模式,拦截高危操作;
以低权限用户运行,高危动作增加二次确认和紧急停止功能。
数据与通信安全:加密存储传输,数据权限管控
敏感数据加密存储,禁止明文;
- 全面启用HTTPS/TLS 1.3,禁用HTTP明文传输;
清洗审计训练、知识库数据,防范恶意数据混入;
建立数据访问权限管控与审计机制,实施最小权限访问。
接口与服务安全:严控访问,强化鉴权
关闭公网暴露,仅允许内网、可信IP访问;
- 禁用默认账号、口令,设置强密码、token鉴权并定期轮换;
接口全链路鉴权,设置访问频率限制、验证码。
部署与供应链安全:溯源依赖,完善审计
定期扫描第三方依赖CVE漏洞,及时升级修复;
- 仅从官方渠道下载插件,启用签名验证与黑名单机制;
开启全流程日志采集,加密存储;
建立常态化安全巡检机制。
请各位开发者重视安全机制,确保使用过程中的安全性。
GitHub地址:https://github.com/SafeAgent-Beihang/clawguard
在此建议各位养虾er把安全机制拉满,用虾不翻车~
GitHub地址:https://github.com/SafeAgent-Beihang/clawguard