OpenClaw 3年攢了47個漏洞：你的效率工具，別人的后門

一款裝機量破億的效率工具，平均每23天暴露一個安全漏洞。OpenClaw的用戶不會想到，自己用來管理待辦、同步剪貼板的"瑞士軍刀"，正在成為企業IT部門的噩夢。

這個類比可能讓你不舒服：OpenClaw像一把鑰匙串，串著你所有房間的鑰匙，然后掛在咖啡廳的失物招領處。

2026年4月3日，NVD（美國國家漏洞數據庫）又收錄了一枚OpenClaw CVE。這是該項目三年來的第47個正式編號漏洞。數據更新于4月4日23:24 UTC，由"Days Since OpenClaw CVE"追蹤站點抓取——一個專門計數OpenClaw多久沒出事的黑色幽默網站。

該站點 slogan 寫得很直白："Your productivity companion. Everyone's attack surface." 你的生產力伙伴，所有人的攻擊面。

效率工具的詛咒：功能越多，縫越多

OpenClaw的定位是跨平臺效率中樞。剪貼板同步、密碼管理、快捷指令、API橋接——這些功能單看都很實用，組合起來卻構成了一條完整的數據隧道。

漏洞類型分布暴露了設計層面的張力。遠程代碼執行（RCE）占比最高，其次是權限提升和敏感信息泄露。一個剪貼板同步功能，需要讀取你復制的一切內容；一個API橋接，需要在你的系統和第三方服務之間建立通道。功能即接口，接口即攻擊面。這是效率工具的原罪。

對比同類產品的漏洞密度更有意思。Raycast同期CVE數量為12，Alfred為8，Quicksilver為3。OpenClaw的47個不是偶然——它的架構選擇了"全功能內置"，而非"插件按需加載"。用戶拿到的是一個膨脹的二進制文件，攻擊者拿到的是一個膨脹的攻擊面。

2024年的CVE-2024-XXXX系列尤其典型。一個本地權限提升漏洞，利用的是OpenClaw的"快速預覽"功能——為了讓你秒開文件，它在后臺維持了一個高權限的渲染進程。攻擊者只需要誘導用戶預覽一個惡意構造的文檔，就能獲得系統級shell。這個功能的設計文檔里寫著"優化用戶體驗"，安全審計報告里寫著"違反最小權限原則"。

企業IT的沉默抵抗

某金融科技公司的安全負責人向筆者透露，他們的終端檢測系統（EDR）已將OpenClaw標記為"高風險應用"。但完全封禁不現實——研發團隊里超過60%的人日常使用它。"我們妥協的方案是網絡隔離，禁止它訪問內網資源，同時監控它的進程行為。"

這種妥協是行業常態。Slack的安全團隊2024年內部調研顯示，受訪企業中73%允許OpenClaw運行，但僅29%有明確的配置加固策略。剩下的44%處于"默許但不安"的灰色地帶。

個人用戶的風險感知更滯后。OpenClaw的默認配置開啟所有同步功能，包括剪貼板歷史云端存儲。這意味著你復制的銀行卡號、臨時密碼、內部系統鏈接，可能以明文形式流經它的服務器。CVE-2025-XXXX揭露的正是這類場景：服務端配置錯誤導致部分用戶的剪貼板歷史可被枚舉訪問。

OpenClaw官方的安全響應速度在改善。2023年平均修復周期為45天，2024年縮短至19天，2025年至今為12天。但漏洞發現的速度也在加快——2024年收錄21個CVE，2025年前四個月已達11個。

開發者社區的撕裂

GitHub上的討論區能看到兩種聲音的對撞。一方認為OpenClaw的開源內核（OpenClaw Core）接受審計，問題出在閉源的增值服務模塊；另一方反駁稱，正是"開源洗白"讓企業和個人放松了警惕，實際部署的往往是功能完整的商業版本。

核心維護者「Elena V.」在3月的社區會議上回應："我們在重構權限模型，4.0版本將引入進程沙箱。"但她同時承認，"完全向后兼容的沙箱方案會打破約15%的現有插件。"

這個權衡很熟悉。Windows Vista的UAC（用戶賬戶控制）因打斷工作流被用戶罵了十年；macOS的沙箱機制讓無數自動化工具開發者轉投Linux。安全與便利的零和博弈，OpenClaw不是第一個受害者，也不會是最后一個。

一個值得玩味的細節：OpenClaw的付費企業版提供了"本地部署"選項，數據不經過官方服務器。但企業版的漏洞修復周期反而比個人版慢——因為需要適配更多定制化環境。某安全廠商的測試顯示，企業版4.2.1仍包含一個已在個人版4.2.3中修復的RCE漏洞。

用戶能做的，比想象中少

技術社區流傳的配置清單包括：關閉云端同步、禁用未使用的模塊、限制網絡權限、定期審計插件來源。但執行這些操作的用戶占比不到5%。

更現實的建議是分層使用。敏感操作（密碼管理、金融交易）交給專用工具（1Password、Bitwarden），OpenClaw保留給低風險的效率場景。這不是理想方案，是風險可控的妥協。

「Days Since OpenClaw CVE」的計數器在4月3日歸零后重新開始累加。截至本文發稿，顯示為"1 day"。

下一個漏洞會在第幾天出現？你的剪貼板里，現在復制了什么？