开源AI智能体“龙虾”（OpenClaw）安全漏洞频发，多国监管机构发布风险警告

一款代号“龙虾”的开源AI智能体工具“开放之爪”（OpenClaw）正因其强大的自主任务执行能力而迅速走红，但随之而来的是密集曝光的严重安全漏洞，引发了全球监管机构和安全团队的广泛警惕。中国国家知识产权局已发布风险提示，明确指出使用此类工具撰写专利申请文件可能诱发多重风险，其默认安全配置脆弱，易引发严重安全问题。这标志着该工具的应用已从技术社区扩散至专业领域，并触发了官方的正式风险预警。

“开放之爪”由奥地利工程师彼得·施泰因贝格尔开发，其将社交通讯软件与自动化智能体深度耦合的架构带来了灵活性的同时，也埋下了安全隐患。自今年1月以来，安全审计接连发现其存在数百项安全漏洞，其中8项被归类为“严重”。2月，一个名为“ClawJacked”的重大漏洞被曝光，攻击者可能通过恶意网页接管智能体，获取设备权限。3月底，中国360数字安全集团也宣布发现一处影响全球50多个国家和地区的高危漏洞。

更广泛的攻击风险源于其依赖社区技能插件的运行模式。微软安全团队的报告指出，用户主要面临恶意技能插件和间接提示词注入两类风险。攻击者可以轻易注册匿名账号上传包含恶意代码的插件，实现“代码投毒”。据美国派拓网络公司2月的数据，相关平台上已发现超过800个针对“开放之爪”的恶意技能插件。这种低门槛的攻击方式，使得用户可能在一次点击后就让攻击者在系统中获得持久驻留能力，安全形势严峻。