AI Agent 安全警报：OpenClaw 被曝 7 个漏洞，AI 甚至“失控删除邮箱”

在241k Star封神！OpenClaw v2026.2.26 正式发布：Android入列，密钥安全落地，重新定义自主AI助手中介绍了最近火爆的OpenClaw。伴随着OpenClaw的持续火热，其安全性问题也逐渐暴漏了出来。本文列出了最近被曝光的比较严重的漏洞，并给出了关于agent安全性的一些思考。

一位安全研究人员在测试 OpenClaw 时，AI Agent 开始自动删除邮箱邮件。
用户多次发送STOP指令， AI 仍然继续执行删除操作。

最终用户只能： 强行杀掉进程才停止。

截至目前，OpenClaw 被安全研究人员曝出 7 个中高危漏洞。

一、最严重漏洞：CVE-2026-25593

OpenClaw 的 Gateway API 存在严重安全问题。

攻击流程非常简单：

攻击者 ↓ WebSocket API ↓ config.apply ↓ 命令注入 ↓ 系统执行 shell 

攻击者可以构造类似命令：

config.apply(cliPath="; rm -rf /")

结果就是：

远程执行系统命令（RCE）

漏洞类型：

• 命令注入（CWE-78）
• 未授权访问（CWE-306）

CVSS 评分：

8.4 高危

二、另一个离谱漏洞：一键远程接管

另一个漏洞甚至更危险。

攻击流程：

用户点击恶意链接 ↓ 浏览器访问 localhost ↓ OpenClaw 自动连接攻击者 WebSocket ↓ token 泄露 ↓ 攻击者控制 AI Agent 

整个攻击：

只需要一次点击。

攻击者即可：

• 控制 AI
• 执行命令
• 操作系统

三、AI Agent 为什么更危险？

传统软件：

用户 → API → 系统 

AI Agent：

用户输入 ↓ LLM ↓ 调用工具 ↓ 操作系统 

一旦出现 Prompt Injection 或漏洞：

AI 可能直接执行：

删除文件 执行 shell 泄露数据 

因此安全研究人员现在普遍认为：

AI Agent 本质上是一个“不可信代码执行环境”。

四、AI Agent 的真正问题

OpenClaw 事件暴露了一个更深的问题：

现在很多 AI Agent 架构是：

LLM + Memory + Tools 

却缺少最关键的东西：

安全边界

没有真正的：

• 权限系统
• 执行沙箱
• 策略引擎

所以 AI 一旦出问题，就可能直接操作：

系统 数据库 邮箱 

五、未来 AI Agent 会怎么发展？

我想未来 AI Agent 会变成一种 Agent OS。

核心组件包括：

Policy Engine Permission Graph Tool Sandbox Capability Token 

也就是说：

AI 的每一个操作都必须通过权限系统。

就像操作系统一样。

结语

OpenClaw 事件说明了一件事：

AI Agent 不只是 AI 技术问题，而是系统安全问题。

未来 AI 系统除了更强模型，还必须具备：

• 权限体系
• 执行隔离
• 安全策略

否则：

AI Agent 可能成为下一代安全漏洞入口。

更多内容，欢迎关注我的微信公众号: 半夏之夜的无情剑客。