近期，一款名為OpenClaw（曾用名Clawdbot、Moltbot）的AI智能體引發廣泛關注。其核心優勢在于“主動自動化”功能，無需用戶指令即可自主完成清理收件箱、預訂服務、管理日歷等任務。然而，隨著用戶數量激增，其安全風險逐漸暴露，引發行業高度警惕。

工業和信息化部網絡安全威脅和漏洞信息共享平臺最新監測顯示，OpenClaw開源版本在默認配置或不當部署場景下存在顯著安全隱患。由于該智能體具備自主決策、持續運行及調用系統資源的能力，且“信任邊界”定義模糊，攻擊者可能通過指令誘導、配置漏洞或惡意接管等方式，實施越權操作，導致用戶信息泄露或系統被控。官方特別指出，公網暴露的實例風險尤為突出，需立即采取防護措施。

安全事件已現端倪。今年2月，密碼管理工具1Password安全團隊披露，攻擊者利用OpenClaw的“技能”文件（通常為Markdown格式的教程文檔）向macOS用戶植入惡意軟件。黑客將惡意代碼偽裝成合法集成指南，誘使用戶下載執行，進而控制設備。這一案例暴露出OpenClaw技能生態的安全管理缺陷，引發對第三方內容審核機制的質疑。

針對當前風險，專家建議用戶及企業部署OpenClaw時采取多重防護：關閉非必要的公網訪問端口，強化身份認證與訪問控制，對敏感數據進行加密存儲，并建立安全審計日志。同時，需定期核查權限配置，避免過度授權，并及時跟進官方發布的安全補丁。工業和信息化部提醒，開源項目雖降低使用門檻，但安全責任需由使用者承擔，切勿因追求便利忽視風險管控。