OpenClaw 19 万星被曝高危漏洞,你的 API Key 可能早就泄露了
热榜全在教你装 OpenClaw、配 Skills、接大模型,但很少有人聊安全。
上周我照着教程配好了 OpenClaw,跑得挺顺,直到看到一条安全公告把我整清醒了:OpenClaw 存在一个 CVSS 8.8 的高危漏洞(CVE-2026-25253),攻击者只需要你打开一个网页,就能完全接管你本地的 AI Agent。
不是恐吓,是真实存在的攻击链。我花了两天时间把漏洞细节和 ClawHub 恶意插件的事情全翻了一遍,整理出这篇文章。
先说结论
| 风险项 | 严重程度 | 状态 |
|---|---|---|
| ClawJacked 漏洞(CVE-2026-25253) | 高危 CVSS 8.8 | 已修复(v2026.2.26) |
| ClawHub 恶意 Skills | 824 个已确认 | 持续增长中 |
| 全球暴露实例 | 40,000+ | 大量未更新 |
| API Key 泄露风险 | 高 | 需手动排查 |
如果你在用 OpenClaw,先停下来检查版本号,低于 2026.2.26 的立刻升级。
ClawJacked 到底是什么?
Oasis Security 的研究团队发现了一条完整的攻击链,整个过程不需要你安装任何插件、不需要你点确认,你只需要——打开一个网页。
攻击原理分三步:
第一步:WebSocket 偷连
浏览器的跨域策略(CORS)不会拦截 WebSocket 对 localhost 的连接。只要你本地跑着 OpenClaw Gateway,恶意网页里一行 JS 就能悄悄连上去:
// 攻击者的恶意页面里可能就藏着这么一段
const ws = new WebSocket('ws://127.0.0.1:3000/ws');
ws.onopen = () => {
// 连上了,开始暴力破解密码
bruteForcePassword(ws);
};
第二步:无限速暴力破解
OpenClaw 对 127.0.0.1 的请求默认免除了速率限制——本来是为了让本地 CLI 不被锁,结果攻击者通过浏览器 WebSocket 也走的 127.0.0.1,每秒几百次尝试,密码根本扛不住。
人类设置的密码在这种速度面前毫无意义。TechRadar 原话是:"A human-chosen password doesn't stand a chance."
第三步:自动信任 + 完全控制
密码破了之后,因为来源是 localhost,Gateway 会自动批准设备配对,不弹任何确认框。攻击者直接拿到完整权限——执行系统命令、读写文件、窃取你配置的所有 API Key。
整个流程可能不到 30 秒。
ClawHub 上 824 个恶意 Skills
漏洞只是冰山一角。Koi Security 对 ClawHub 做了全量审计,结论更吓人:
- 2 月初扫描 2,857 个 Skills,发现 341 个恶意
- 3 月初 Skills 总量涨到 10,700,恶意数量暴增到 824 个
- 其中 335 个追溯到同一个攻击组织,代号 ClawHavoc
这些恶意 Skills 的套路主要有几种:
恶意类型 数量 手法
──────────────────────────────────
Typosquat 仿冒 29 名字差一两个字母的冒牌 Skill
加密货币工具 111 Solana 钱包、交易 bot 内嵌后门
Polymarket 工具 34 预测市场 bot 偷用户凭证
YouTube 工具 57 功能正常但后台偷偷开反向 Shell
其他 110+ 各种数据外传、提示注入
重点是:这些 Skills 表面上功能完全正常,你用起来没任何异常,但后台在默默把你的数据往外送。
我自己的排查过程
看到这些消息后我第一反应就是查自己的环境:
1. 检查 OpenClaw 版本
openclaw --version
# 如果低于 2026.2.26,立刻升级
openclaw update
2. 审计已安装的 Skills
# 列出所有已安装的 Skills
openclaw skills list
# 对每个 Skill 检查来源和安装时间
openclaw skills info <skill-name>
我装了 12 个 Skills,逐个查了一遍。有 2 个是从 ClawHub 随手装的小工具,名字看着没问题,但仔细一看作者只发布过这一个 Skill,没有其他项目,果断卸了。
3. 检查 API Key 是否泄露
如果你在 OpenClaw 配置里明文存了 API Key(大部分人都是),而且用的是低于 2026.2.26 的版本,那你的 Key 可能已经暴露了。
我的做法是:
- 把所有配在 OpenClaw 里的 API Key 全部轮换
- 检查 OpenAI/Anthropic/Google 后台的调用日志,看有没有异常请求
- 以后不在 OpenClaw 里直接存原始 Key
4. 关于 API Key 管理的教训
这次事件让我重新想了一下 API Key 的管理方式。之前为了图方便,什么 OpenAI、Claude、Gemini 的 Key 全直接扔 OpenClaw 配置文件里。
后来我改成了用 API 聚合服务,只在 OpenClaw 里配一个统一的 Key 和 endpoint。好处是:
- 就算 Key 泄露,我在聚合平台那边一键禁用就行,不用去五六个平台逐个改
- 聚合平台有调用日志,异常请求一眼就能看出来
- 不用在本地存一堆不同平台的 Key
我用的是 ofox.ai,改配置很简单:
# 改前:多个平台的 Key 散落在配置里
providers:
openai:
api_key: sk-xxxxx
anthropic:
api_key: sk-ant-xxxxx
# 改后:统一走聚合接口
providers:
openai:
base_url: https://api.ofox.ai/v1
api_key: of-xxxxx # 一个 Key 搞定
给 OpenClaw 用户的安全建议
经过这次排查,总结几条实操建议:
- 立刻升级到 2026.2.26+,这个没商量
- 审计所有 ClawHub Skills,查看作者历史、Star 数、最近更新时间,新号发布的慎用
- 轮换 API Key,尤其是在低版本上配过的 Key
- 不要在配置文件里明文存多个平台的 Key,用聚合服务或者环境变量
- 关闭不用的 Gateway 端口,不跑的时候别让它监听
- 定期查看调用日志,关注异常的调用量和来源 IP
小结
OpenClaw 是个好工具,19 万 Star 不是白来的。但它的安全问题也是实打实的——高危漏洞加上恶意 Skills 市场,构成了一个很完整的攻击面。
作为开发者,享受 AI Agent 带来的效率提升的同时,安全意识不能掉。特别是涉及 API Key 这种直接关联钱的东西,多一层防护不会错。
如果你也在用 OpenClaw,先去查下版本号吧。
参考来源:
