ai

OpenClaw AI Agent 缺陷可能导致 Prompt Injection 和 Data Exfiltration

发布: (2026年3月15日 GMT+8 00:17)
6 分钟阅读
原文: The Hacker News

Source: The Hacker News

Ravie LakshmananMar 14, 2026Artificial Intelligence / Endpoint Security

OpenClaw 截图

中国国家计算机网络应急技术团队(CNCERT)已**发布警告,提醒使用OpenClaw**(前身为ClawdbotMoltbot)这一开源、自托管的自主 AI 代理所带来的安全风险。在微信上分享的帖子中,CNCERT指出,该平台的*“固有的默认安全配置薄弱”*,再加上其用于自主任务执行的特权系统访问,可能被威胁行为者利用,以夺取终端控制权。

Prompt‑injection 威胁面

  • Prompt injections – 恶意指令嵌入网页后,能够欺骗代理在访问并消费该内容时泄露敏感数据。
  • 该技术也被称为 indirect prompt injection (IDPI)cross‑domain prompt injection (XPIA)。攻击者不直接与大语言模型 (LLM) 交互,而是利用看似无害的 AI 功能(例如网页摘要、内容分析)来 运行被操纵的指令

滥用示例

  • 规避基于 AI 的广告审查系统,
  • 影响招聘决策,
  • SEO 投毒,以及
  • 通过压制负面评论生成偏颇的回复。

TL;DR illustration

OpenAI 在本周早些时候发布的博客文章中指出,Prompt‑injection 风格的攻击正从简单的指令放置演进为包含 社会工程学元素 的更复杂形式。

“AI 代理正日益能够浏览网页、检索信息并代表用户执行操作,”公司写道。“这些能力很有用,但也为攻击者提供了新的方式来尝试操纵系统。”
— OpenAI blog

实际利用

风险并非假设性的。上个月,PromptArmor 的研究人员演示了在消息应用(如 Telegram、Discord)的 链接预览功能 在与 OpenClaw 进行间接提示注入时,可能成为数据外泄通道。

  • 该攻击诱骗 AI 代理生成攻击者控制的 URL。
  • 当消息应用将该 URL 渲染为链接预览时,会自动将机密数据传输到攻击者的域名——用户无需点击链接

“在带有链接预览的代理系统中,数据外泄可以在 AI 代理响应用户时立即发生,”研究人员解释道。“代理被操纵去构造一个使用攻击者域名的 URL,动态生成的查询参数中包含模型已知的用户敏感数据。”
— PromptArmor report

Attack flow diagram

CNCERT 强调的其他关注点

  1. 意外数据丢失 – 由于误解用户指令,OpenClaw 可能会无意且不可逆地删除关键信息。
  2. 恶意技能上传 – 威胁行为者可以向诸如 ClawHub 的仓库上传恶意 skills,这些技能在安装后会执行任意命令或部署恶意软件。
  3. 可利用的漏洞 – 最近披露的 OpenClaw 安全缺陷可被利用来危害系统并泄露敏感数据。

“对于金融、能源等关键行业,此类泄露可能导致核心业务数据、商业机密和代码仓库泄漏,甚至导致整个业务系统完全瘫痪,造成难以估量的损失,” CNCERT 补充道。

缓解建议

  • 加强网络控制 – 限制 OpenClaw 默认管理端口对互联网的暴露。
  • 容器化服务 – 将 OpenClaw 隔离在容器或沙箱环境中。
  • 保护凭证 – 避免以明文形式存储密码或 API 密钥。
  • 验证第三方内容 – 仅从可信、已验证的渠道下载技能。
  • 禁用自动更新 (来源中不完整)

保留原始来源的所有链接和图片。

**Tests for skills, and keep the agent up‑to‑date.**

[![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEigDbfWwE4P_DsjfBRxgecgosqTRr8-2j328LrzdUBWrWmWeDUTI7OhXc-zXveYOjBc7GStGz5WnpXsJGaLCuoryIXbL7NxRyaWzIJGO1TBpd48NkYzNqTMj9zWMzgfvqh20RxsdMll45TFiMzXja0pAd7roFjMnzsRYBGHOWSLnyKN-oMKyCLoYcjmb5hm/s728-e100/ciso-d.jpg)](https://thehackernews.uk/cyber-comm-guide-d)

随着中国当局限制国有企业和政府机构在办公电脑上运行 OpenClaw AI 应用,以遏制安全风险,Bloomberg 报道了此举(链接)。据称禁令还扩展到军人家属。

OpenClaw 的病毒式流行也促使威胁行为者利用这一现象,发布冒充 OpenClaw 安装程序的恶意 GitHub 仓库。这些仓库部署了如 AtomicVidar Stealer 的信息窃取工具,以及一种基于 Golang 的代理恶意软件 GhostSocks详情),并使用 ClickFix‑style 指令(来源)。

“该活动并未针对特定行业,而是广泛针对尝试安装 OpenClaw 的用户,恶意仓库中包含针对 Windows 和 macOS 环境的下载指令,” Huntress 说(链接)。
“之所以成功,是因为恶意软件托管在 GitHub 上,且该恶意仓库成为 Bing AI 搜索 OpenClaw Windows 时的最高评分建议。”

关注我们

发现这篇文章有趣吗? 关注我们获取更多独家内容:

  • Google 新闻:
  • Twitter:
  • LinkedIn:
0 浏览
#OpenClaw #prompt injection #data exfiltration #AI agent security #autonomous agents #CNCERT warning #endpoint security
查看原文
Share:
Back to Blog

相关文章

阅读更多 »

AI研究

Agentic AI指的是行为类似于自主代理的人工智能系统。这些系统能够观察其环境,做出…