想了解一下OpenClaw历史上有没有出过什么安全事故或者风险事件?数据泄露、系统被黑之类的。
调研用,给老板写报告需要这部分内容。
OpenClaw作为开源项目本身没有出过重大安全事故。但围绕它的生态确实有一些值得关注的事件:
-
恶意MCP插件事件:2025年中期,有人在社区发布了几个伪装成实用工具的MCP插件,实际上会窃取用户的API Key。被发现后社区迅速下架,但已有部分用户中招。
-
Prompt注入攻击:有安全研究者演示过,恶意网页可以通过隐藏文本诱导OpenClaw执行危险操作(比如删除文件)。这是所有AI Agent的通病,不是OpenClaw特有的。
-
API Key泄露:一些用户把包含API Key的配置文件上传到了公开GitHub仓库,导致Key被盗用产生大额账单。这是用户操作问题,不是OpenClaw的漏洞。
从安全角度补充:
OpenClaw的安全架构:
- 操作前会弹确认框(除非你关掉了)
- 有沙箱模式限制文件访问范围
- MCP插件有权限声明机制
但也有薄弱环节:
- 确认框被很多人一键全允许(图省事)
- 沙箱不是默认开启的
- 插件权限声明靠开发者自觉,没有强制审核
总体来说,OpenClaw的安全机制在AI Agent里算中上水平,但需要用户自己正确配置。
写报告的话建议加上风险评级:
低风险场景: 用OpenClaw写文档、做分析(不涉及敏感数据)
中风险场景: 用OpenClaw处理内部业务数据(注意脱敏)
高风险场景: 让OpenClaw操控电脑执行任务(确认机制必须开启)
结论:风险可控,但需要制定使用规范。
很全面了。给老板写报告就用这个框架,感谢!
记得强调一点:目前没有因使用OpenClaw导致的重大企业级安全事故。已知问题都是可防可控的。