OpenClaw Attack-Defense Lab

漏洞曝光与攻防案例

• 🔥 OpenClaw公网暴露风险: 互联网上超过4.2万个OpenClaw实例暴露公网，其中九成以上可轻易绕过验证，导致真实案例中一家墨西哥公司因API Key泄露收到8万美元账单。
• 🔥 AI Agent攻击面警示: OpenClaw...

OpenClaw 作为网关层隔离用户与 Claude Code 直接交互，优化 Token 成本结构并提升账号安全性，同时构建意图-执行双层 Agent 架构。

墨西哥软件公司因OpenClaw实例暴露公网，API Key被滥用后收到8万美元账单，凸显API Key保护与实例隔离的紧迫性。 目前超4.2万实例暴露，其中九成以上可轻易绕过验证。

No significant updates today.

中毒配置文件可悄然从构建服务器窃取API密钥与证书，CVE-2025-59145将CI管道变为外泄通道。AI助手生成恶意配置虽属可能场景，但目前无真实案例确认。

iMessage点赞审批与实时通话控制是本次更新核心。前者通过白名单+👍/👎简化审批，可能因配置不当扩大攻击面；后者允许通话中查询/取消/引导AI任务，提升防御干预能力同时引入语音指令劫持风险。建议优先验证白名单与脱敏配置。

Skill 脚本优化发布

• 🔥 开源 skill-cleaner 工具: 龙虾之父开源 skill-cleaner，通过预算审计、重复检测、未使用筛查、根目录审计和描述精简五项功能优化 Skill，脚本近千行代码，Skill.md 仅 56 行，严格遵循 Codex 计费规则计算...

Skill描述过长会推高token成本并增加Agent选择噪声。龙虾之父开源的skill-cleaner提供实用审计功能。

• 预算审计：计算技能上下文占用比例，输出优化方案
• 描述精简：预处理后用短动作词组替换冗长描述
• 三步落地：运行Node脚本、阅读审计报告、安全清理冗余

攻击者利用伪造提交向 5561 个仓库注入恶意 GitHub Actions 工作流，目标直指 CI/CD 凭证、云密钥与 OIDC token。

• 两种 payload 变体：SysDiag 自动触发于每次 push/pull，Optimize-Build 则替换为按需触发的休眠后门。
  -...

• Windows 原生安装：Node 22.14+ 环境下直接 npm 全局装 OpenClaw，跳过 WSL2。
• 手动配置 API：跳过 onboard 向导，手写 openclaw.json 填 baseUrl 与 Key。
• Skill 调度：安装 SenseNova-Skills 获 24 个 Skill，跑横评信息图任务。
• 踩坑优化：sn-infographic 链路需注意 Python 版本约束，避免文字渲染变形。

从攻防视角看，企业控制平面将 Agent 安全从模型层推向执行链层。OpenClaw 的高自主性（终端、文件、浏览器直连）使提示注入可直接劫持整条工具链。

• OpenClaw 风险：默认信任操作者本人，记忆与调度设计追求确定性却放大越权执行面，适合个人但对内网敏感组织天然敏感。
• 悟空选择：把边界交给组织账号、审批流与 MCP Gateway，而非模型自觉，模型概率性失误被组织硬边界兜底。
• 实战启示：MCP 解决连接却不解决治理，攻防重点转向 Gateway 策略引擎与身份穿透控制。

Workspace配置体系

• 🔥 第3课Workspace配置: 系统讲解Workspace目录结构与配置文件，指导用户配置专属智能客服Agent。

Skill封装与优化

• Prompt转Skill流程: 提供资产盘点、标准化改造、封装测试、版本管理及工作流建立的完整方法。

Agent构建实践

• 🔥 企业Agent二次开发模式: 总结多渠道入口、上下文文件即OS、技能库、RAG+API、审批边界等七种模式及五阶段实施路线图。

传统Prompt难以复用、跨模型失效且无法自动化，OpenClaw Skill通过标准化封装解决这些痛点。

转化核心步骤：

• 资产盘点分类，按功能/场景/模型/成熟度梳理现有Prompt
• 标准化改造：明确输入参数类型、结构化输出及错误处理逻辑
• 封装测试发布：配置模型参数、定义接口、覆盖正常/边界/异常输入测试后发布并维护版本

可利用Skill组合、工具调用等特性升级原有Prompt，形成可复用的智能技能库。

Workspace是OpenClaw核心状态目录，默认位于~/.openclaw/workspace/，所有配置均为纯Markdown文件，每次会话动态注入系统提示词。

关键文件分工：

• AGENTS.md 定义执行流程、安全红线与记忆加载规则，优先级最高
• SOUL.md...

从单一案例提炼的 Agent 架构模式，可直接用于攻防实战中的系统设计：

• 模式 A：多渠道入口统一到 Gateway，实现飞书/Slack 等统一路由与权限
• 模式 B：上下文文件即操作系统，将 SOUL/USER/TOOLS/MEMORY 写成可审计文件
• 模式 G：审批边界优先设计，明确付款、合同等 Agent 禁止直接操作

生产部署建议私有网络、最小权限 API Key 与完整日志，降低风险。

两篇文章互补，覆盖 OpenClaw Agent 的实战搭建与核心运行机制。

• 银行场景实操：解决文档碎片化、核心系统 API 权限及检索效果差等问题，形成可复用方法论
• 5 分钟 Vibe Coding：手搓简易 Agent，彻底拆解 ReAct 思考-行动闭环及 Plan-and-Execute 范式
• 价值：先跑通案例再吃透底层，不再盲目配置，适合快速提升 Agent 构建能力

版本升級安全機制

• 🔥 OpenClaw v2026.5.20 發布: 新增 Doctor 金鑰掃描與 Policy 合規檢查引擎，修復 exec 審批繞過與金鑰洩漏風險，附安裝指引。

ToolCalling 實作細節

• 博客系列第4篇: 涵蓋工具定義規範、執行流程、安全機制與高級特性，提供自訂工具與 Skill 開發的具體實作案例。

Agent 狀態污染防護

• ⚡ 日常對話黑化案例: ULSPB 測試顯示無需惡意攻擊即可誘發長期狀態漂移，需強化對話歷史隔離與記憶審查規則。

OpenClaw v2026.5.20 强化生产部署安全，NemoClaw 则内置企业级沙箱与本地推理，攻防双方需重新评估代理权限与数据边界。

• Exec 审批革命：旧版绕过路径已死，强制审批流程大幅提升红队利用难度
• Doctor 密钥扫描 + Policy 插件：内置合规检查引擎，主动发现...

OpenClaw ToolCalling机制覆盖工具定义规范、执行流程、安全机制、高级特性及实战案例，助力攻防自动化学习。

• 从基础概念逐步深入实现细节，适合使用者与贡献者
• 重点解析安全机制与执行流程，提升实战工具调用能力
• 实战案例直接对应攻防场景中的脚本编写与优化需求

• 核心机制：Agent将临时请求或局部偏好错误泛化为长期默认规则，而非一次对话直接诱导
• 风险实例：用户赶进度的「方便做法」可能被内化为持久行为设定
• 实战意义：揭示非恶意聊天下的规则持久化隐患，需重点监控上下文规则演化