报告全面揭示了这一快速普及的 AI 智能体框架在高速扩张过程中面临的多重安全风险。随着 OpenClaw 在全球范围内快速落地,其互联网暴露面持续扩大,截至 2026 年 3 月 13 日,全球已发现 232958 个暴露在公网的 OpenClaw 部署实例,覆盖近 15 万个独立 IP 地址,主要集中在默认端口 18789 与 5353,且每日新增资产数量从月初的 5000 个激增至 9 万以上,增长势头极为迅猛。从地理分布来看,美国与中国的部署量位居全球前两位,合计占比超过 65%,国内则集中在北京、上海、广东、浙江等经济发达地区。在高速扩张的同时,安全漏洞问题随之凸显,全球已有 20471 个 OpenClaw 实例被检测出存在潜在漏洞风险,约占暴露总量的 9%,涉及多个服务组件与相关 CVE 漏洞,给企业与个人用户带来直接安全隐患。
作为 OpenClaw 生态的核心扩展机制,Skills 插件在带来强大功能的同时,也成为攻击者重点利用的攻击面。由于 ClawHub 等公共技能市场缺乏严格审核机制,仅需 GitHub 账号即可上传发布,恶意 Skill 投毒行为层出不穷。当前 Skills 生态呈现爆发式增长,四大主流平台 Skill 总量已接近 75 万个,日均新增超过 2.1 万个,日增长率在 2% 至 3.9% 之间,若不建立有效安全检测机制,恶意插件将随生态膨胀持续扩散。报告对 24 万余个公开 Skill 进行安全扫描,共识别出 190 个恶意样本与 7727 个可疑样本,恶意类型覆盖提示词注入、命令注入、数据外泄、凭证窃取、权限提升、供应链攻击、触发劫持等十二大类,攻击手段日趋隐蔽和专业化。多个典型恶意案例显示,攻击者常将 Skill 伪装成 Excel 自动化、多平台集成、AI 进化等实用工具,通过提示词劫持、自动执行、远程下载木马、SVG 隐藏 XSS 代码、篡改系统配置、语义蠕虫传播等方式,实现远程代码执行、密码窃取、隐私数据泄露、加密钱包私钥盗取等攻击目的,部分恶意插件还会通过垃圾数据填充、多层混淆等方式规避检测,严重威胁用户设备与数据安全。
除了 Skill 供应链投毒风险,OpenClaw 相关仿冒域名威胁同样不容忽视。自 2026 年 1 月 OpenClaw 正式定名以来,仿冒域名持续滋生,3 月 6 日项目爆火后数量急剧激增,单日最高注册量达 340 个,截至 3 月 13 日累计仿冒域名已超 3500 个。这些仿冒域名主要分为三类,多数为投机抢注用于倒卖牟利,部分用于品牌仿冒钓鱼以窃取账号凭证或投放恶意软件,还有部分被用于竞品推广引流,个别暴露实例还存在网关配置泄露问题。从基础设施特征来看,仿冒域名的主机分布与全球主流服务商格局一致,属于广泛投机行为而非定向攻击,但仍对用户识别与安全使用造成极大干扰。
综合来看,OpenClaw 生态在快速发展的同时,已形成互联网暴露面过大、Skills 供应链投毒活跃、仿冒域名泛滥的三重安全威胁。从资产部署到插件生态,再到域名体系,风险贯穿整个使用流程,攻击手段从简单混淆向语义蠕虫、SVG 隐写、远程木马投放等高级形态演进。报告指出,建立自动化、全流程的安全检测机制,加强 Skill 上架审核,强化用户安全意识与网关防护,已成为保障 OpenClaw 生态健康发展的迫切需求,企业与个人用户在享受 AI 智能体便利的同时,必须重视潜在安全风险,构建全方位防护体系以应对日益复杂的威胁挑战。
