中国国家计算机网络应急技术处理协调中心（CNCERT）近日发布安全警告，指出开源自主托管AI代理OpenClaw（前身为Clawdbot和Moltbot）存在严重安全隐患。该机构在微信公众号发文称，该平台"默认安全配置存在固有缺陷"，加之其具备执行自主任务所需的系统高权限访问能力，可能被攻击者利用以控制终端设备。

间接提示词注入风险凸显

风险主要源于提示词注入攻击——当AI代理被诱导访问含有恶意指令的网页内容时，可能导致敏感信息泄露。这类攻击也被称为间接提示词注入（IDPI）或跨域提示词注入（XPIA），攻击者并非直接与大型语言模型（LLM）交互，而是通过劫持网页摘要、内容分析等正常AI功能来执行被篡改的指令。攻击场景包括规避AI广告审核系统、影响招聘决策、实施搜索引擎优化（SEO）投毒，以及通过压制负面评价生成带有偏见的响应。

OpenAI在本周发布的博客中指出，提示词注入攻击已从简单的外部指令植入，演变为包含社会工程学元素的复合攻击。"AI代理越来越具备网页浏览、信息检索和代用户执行操作的能力，"文中强调，"这些能力虽然实用，但也为攻击者提供了新的系统操控途径。"

真实攻击案例曝光

OpenClaw的提示词注入风险并非理论假设。上月PromptArmor研究人员发现，当通过间接提示词注入与OpenClaw通信时，Telegram或Discord等即时通讯应用中的链接预览功能可能沦为数据外泄通道。攻击原理是诱使AI代理生成攻击者控制的URL，当该链接在通讯应用中呈现为预览时，无需用户点击即可自动向攻击者域名传输机密数据。

AI安全公司指出："在具备链接预览功能的代理系统中，只要AI代理对用户作出响应，数据外泄就会立即发生，无需用户点击恶意链接。在此类攻击中，代理被操控构建包含攻击者域名的URL，并附加动态生成的查询参数，这些参数包含模型所知的用户敏感数据。"

多重安全隐患并存

除恶意提示词外，CNCERT还警示了其他三项风险：

• OpenClaw可能因误读用户指令而不可逆地删除关键信息
• 攻击者可向ClawHub等仓库上传恶意技能模块，安装后会执行任意命令或部署恶意软件
• 攻击者可利用OpenClaw最新披露的安全漏洞入侵系统并泄露敏感数据

CNCERT补充道："对金融、能源等关键行业而言，此类漏洞可能导致核心业务数据、商业秘密和代码仓库泄露，甚至造成整个业务系统完全瘫痪，带来不可估量的损失。"

防护措施与政策响应

为应对风险，建议用户和企业采取以下措施：加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能，以及保持代理程序最新状态。

OpenClaw的病毒式传播也促使攻击者借机散布伪装成OpenClaw安装程序的恶意GitHub仓库，用于部署Atomic、Vidar Stealer等信息窃取程序，以及基于Golang的GhostSocks代理恶意软件（采用ClickFix式指令）。Huntress安全公司表示："该活动未针对特定行业，而是广泛攻击试图安装OpenClaw的用户，恶意仓库包含Windows和macOS环境的下载指令。攻击得逞的关键在于恶意软件托管在GitHub上，且该恶意仓库成为Bing AI搜索'OpenClaw Windows'时的置顶结果。"

参考来源：

OpenClaw AI Agent Flaws Could Enable Prompt Injection and Data Exfiltration

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）