蚂蚁3天揪出OpenClaw 33个高危漏洞：AI智能体框架的安全短板暴露了

当所有人都在用AI智能体自动干活的时候，有人花三天时间把它翻了个底朝天，发现里面藏了33个安全漏洞。

3月30日，蚂蚁集团AI安全实验室发布了对开源AI智能体框架OpenClaw的专项审计报告。这支安全团队用三天时间提交了33个漏洞报告，其中包含1个严重级漏洞（CVE-2026-33574，路径遍历攻击）和4个高危漏洞（CVE-2026-32978，权限绕过），其余3个为中危等级。目前已有8个漏洞在OpenClaw最新版本中得到确认和修复。OpenClaw作为GitHub星标超过23万的热门框架，已被阿里云、腾讯云等主流平台集成，用户体量极大。

具体来说，那个严重级的路径遍历漏洞，意味着攻击者可以越界读写本地文件甚至执行任意代码；而权限绕过漏洞则让攻击者能跳过权限控制，直接操控系统资源。考虑到OpenClaw本身具备访问本地文件、发送邮件、操控浏览器等授权能力，一旦被恶意利用，后果不堪设想。有意思的是，OWASP已经在2025年底推出了专门针对AI智能体的”Agentic Top 10″安全标准，但社区实际防护依然跟不上。

国家网络与信息安全信息通报中心的监测也印证了这一点：大量公网暴露的OpenClaw实例，即使升级到最新版本，仍然因为默认端口未关闭或访问控制配置不当，面临被入侵的风险。AI开源项目光有热度还不够，安全审计得跟上节奏才行。