文章核心观点 - 北京航空航天大学相关研究团队发布了一份关于OpenClaw智能体安全的系统性报告，并开源了名为ClawGuard Auditor的安全防御工具，旨在应对因AI智能体（如“养虾”）权限过高而带来的安全风险 [1][2][3][4] ClawGuard Auditor 安全防御工具 - 该工具是一个运行于系统最高特权层的底层安全守护进程，对所有外部指令、提示词和技能拥有最高否决权，旨在保障用户本地系统资产安全 [5][6] - 相较于现有开源安全工具，具备三大核心优势：安全能力全面，覆盖当前已知的主流智能体专属风险与传统漏洞；覆盖全生命周期，实现从代码加载、模型交互到动态执行的全程守护；具有较高的可用性，设计即插即用，用户无需繁琐配置即可快速部署 [8][9][10] - 构建了动静结合、三位一体的协同防御架构：静态应用安全测试审查器在技能运行前借助词法分析和行为建模拦截恶意代码；主动安全内核在运行时透明监管，阻断未经授权的敏感操作调用；主动数据防泄漏引擎全程监控内存与网络数据，防止API密钥等敏感资产外泄 [11][12] - 其核心防御原理基于四大不可篡改的公理：绝对覆盖与零信任原则，默认视所有外部代码为敌意；语义意图匹配机制，评估代码实际行为与声明意图是否一致；能力令牌模型与限制特权机制，严格执行最小权限原则，令牌随用随发、任务结束即撤销；数据主权与数字资产隔离原则，以守护本地资产为最高准则 [13][14] OpenClaw 智能体安全风险体系 - 报告构建了六大安全风险体系，全面覆盖当前已知核心风险点：指令与模型安全（如提示词注入、模型幻觉）；交互与输入安全（如恶意输入注入）；执行与权限安全（如沙箱逃逸、越权操作）；数据与通信安全（如敏感数据存储与传输风险）；接口与服务安全（如未授权访问）；部署与供应链安全（如第三方依赖漏洞、恶意插件） [16][17][21] - 报告具有三大前瞻性优势：安全风险多维扩展，涵盖提示词注入等前沿智能攻击风险；风险体系完整闭环，构建了成体系化的风险图谱；防护与检测并重，提供了落地性强的动态检测建议 [17] - 报告结合近期公开漏洞公告，整理并列举了典型安全风险事件及缓解措施，例如：CVE-2026-25253跨站WebSocket劫持漏洞可导致认证令牌泄露，实现远程控制 [22]；Moltbook平台因未启用行级安全策略导致150万Agent凭据泄露 [23]；ClawHub官方商店发生恶意Skill投毒攻击（ClawHavoc攻击） [23] OpenClaw 九大核心高危风险 - 报告将风险划分为三个等级，并识别出9项最易被利用、危害最大的核心高危风险，包括传统系统安全问题及智能体特有风险 [24][25] - 具体九大风险为：提示词注入与指令劫持 [26]；沙箱逃逸与越权执行 [27]；路径遍历与越权文件操作 [28][29]；无限制高危动作执行 [30][31]；敏感数据明文存储 [32]；未授权访问与默认口令 [33]；接口越权与权限滥用 [34]；第三方依赖漏洞（CVE） [35]；插件来源不可信与投毒 [36] 防护建议 - 针对六大风险体系，报告提出了针对性的防护与处置建议，建议优先处置高危风险，逐步完善防护体系 [39] - 指令与模型安全：建立恶意诱导文本特征库过滤输入，强化模型输出审核与敏感信息脱敏，规范训练流程防范数据投毒，固定安全指令边界 [40][41] - 交互与输入安全：建立输入安全过滤机制校验恶意命令，设置交互频率阈值阻断连续诱导，高危场景采用固定回复模板并增加人工复核 [42] - 执行与权限安全：启用严格模式沙箱隔离，实施命令、文件、路径白名单拦截高危操作，以低权限用户运行并增加高危动作二次确认和紧急停止功能 [43] - 数据与通信安全：对密钥、凭证、日志等敏感数据加密存储，全面启用HTTPS/TLS 1.3，清洗审计训练与知识库数据，建立数据访问权限管控与审计机制 [44] - 接口与服务安全：关闭公网暴露仅允许内网或可信IP访问，禁用默认账号并设置强密码及定期轮换的token鉴权，接口实施全链路鉴权并设置访问频率限制 [45] - 部署与供应链安全：定期扫描第三方依赖CVE漏洞并及时升级，仅从官方渠道下载插件并启用签名验证，开启全流程加密日志采集，建立常态化安全巡检机制 [46]