Odaily 星球日報訊 3 月 31 日,Web3 安全公司 CertiK 發布《OpenClaw 安全報告》,對 OpenClaw 發展過程中出現的安全邊界與風險模式進行系統性回顧與分析,並提出針對開發者與使用者的防護建議。
報告指出,OpenClaw 的架構將外部輸入與本地高權限執行環境相連接,這種「強能力+高權限」的設計在提升自動化水平的同時,也對安全提出更高要求:其早期基於「本地可信環境」的安全模型在複雜部署場景中逐步暴露局限。數據顯示,在 2025 年 11 月至 2026 年 3 月期間,OpenClaw 累計產生超過 280 條 GitHub 安全公告及 100 個以上 CVE 漏洞。研究從閘道控制、身份綁定、執行機制、外掛生態等多個層面,總結了典型風險類型及其成因。
在此基礎上,報告針對開發者與使用者提出建議:開發者需在早期建立威脅模型,將存取控制、沙箱隔離與權限繼承機制納入核心設計;同時加強對外掛程式與外部輸入的校驗與約束。使用者則應避免公開網路暴露,實施最小權限原則,持續進行配置審計與環境隔離管理,以降低系統被濫用或誤用的風險。
