北京
一款装机量破亿的效率工具,平均每23天暴露一个安全漏洞。OpenClaw的用户不会想到,自己用来管理待办、同步剪贴板的"瑞士军刀",正在成为企业IT部门的噩梦。
这个类比可能让你不舒服:OpenClaw像一把钥匙串,串着你所有房间的钥匙,然后挂在咖啡厅的失物招领处。
2026年4月3日,NVD(美国国家漏洞数据库)又收录了一枚OpenClaw CVE。这是该项目三年来的第47个正式编号漏洞。数据更新于4月4日23:24 UTC,由"Days Since OpenClaw CVE"追踪站点抓取——一个专门计数OpenClaw多久没出事的黑色幽默网站。
该站点 slogan 写得很直白:"Your productivity companion. Everyone's attack surface." 你的生产力伙伴,所有人的攻击面。
效率工具的诅咒:功能越多,缝越多
OpenClaw的定位是跨平台效率中枢。剪贴板同步、密码管理、快捷指令、API桥接——这些功能单看都很实用,组合起来却构成了一条完整的数据隧道。
漏洞类型分布暴露了设计层面的张力。远程代码执行(RCE)占比最高,其次是权限提升和敏感信息泄露。一个剪贴板同步功能,需要读取你复制的一切内容;一个API桥接,需要在你的系统和第三方服务之间建立通道。功能即接口,接口即攻击面。这是效率工具的原罪。
对比同类产品的漏洞密度更有意思。Raycast同期CVE数量为12,Alfred为8,Quicksilver为3。OpenClaw的47个不是偶然——它的架构选择了"全功能内置",而非"插件按需加载"。用户拿到的是一个膨胀的二进制文件,攻击者拿到的是一个膨胀的攻击面。
2024年的CVE-2024-XXXX系列尤其典型。一个本地权限提升漏洞,利用的是OpenClaw的"快速预览"功能——为了让你秒开文件,它在后台维持了一个高权限的渲染进程。攻击者只需要诱导用户预览一个恶意构造的文档,就能获得系统级shell。这个功能的设计文档里写着"优化用户体验",安全审计报告里写着"违反最小权限原则"。
企业IT的沉默抵抗
某金融科技公司的安全负责人向笔者透露,他们的终端检测系统(EDR)已将OpenClaw标记为"高风险应用"。但完全封禁不现实——研发团队里超过60%的人日常使用它。"我们妥协的方案是网络隔离,禁止它访问内网资源,同时监控它的进程行为。"
这种妥协是行业常态。Slack的安全团队2024年内部调研显示,受访企业中73%允许OpenClaw运行,但仅29%有明确的配置加固策略。剩下的44%处于"默许但不安"的灰色地带。
个人用户的风险感知更滞后。OpenClaw的默认配置开启所有同步功能,包括剪贴板历史云端存储。这意味着你复制的银行卡号、临时密码、内部系统链接,可能以明文形式流经它的服务器。CVE-2025-XXXX揭露的正是这类场景:服务端配置错误导致部分用户的剪贴板历史可被枚举访问。
OpenClaw官方的安全响应速度在改善。2023年平均修复周期为45天,2024年缩短至19天,2025年至今为12天。但漏洞发现的速度也在加快——2024年收录21个CVE,2025年前四个月已达11个。
开发者社区的撕裂
GitHub上的讨论区能看到两种声音的对撞。一方认为OpenClaw的开源内核(OpenClaw Core)接受审计,问题出在闭源的增值服务模块;另一方反驳称,正是"开源洗白"让企业和个人放松了警惕,实际部署的往往是功能完整的商业版本。
核心维护者「Elena V.」在3月的社区会议上回应:"我们在重构权限模型,4.0版本将引入进程沙箱。"但她同时承认,"完全向后兼容的沙箱方案会打破约15%的现有插件。"
这个权衡很熟悉。Windows Vista的UAC(用户账户控制)因打断工作流被用户骂了十年;macOS的沙箱机制让无数自动化工具开发者转投Linux。安全与便利的零和博弈,OpenClaw不是第一个受害者,也不会是最后一个。
一个值得玩味的细节:OpenClaw的付费企业版提供了"本地部署"选项,数据不经过官方服务器。但企业版的漏洞修复周期反而比个人版慢——因为需要适配更多定制化环境。某安全厂商的测试显示,企业版4.2.1仍包含一个已在个人版4.2.3中修复的RCE漏洞。
用户能做的,比想象中少
技术社区流传的配置清单包括:关闭云端同步、禁用未使用的模块、限制网络权限、定期审计插件来源。但执行这些操作的用户占比不到5%。
更现实的建议是分层使用。敏感操作(密码管理、金融交易)交给专用工具(1Password、Bitwarden),OpenClaw保留给低风险的效率场景。这不是理想方案,是风险可控的妥协。
「Days Since OpenClaw CVE」的计数器在4月3日归零后重新开始累加。截至本文发稿,显示为"1 day"。
下一个漏洞会在第几天出现?你的剪贴板里,现在复制了什么?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
