大家都清楚“龙虾”软件存在漏洞,却很少有人意识到它可能对防火墙造成严重破坏。
近几个月,名为OpenClaw的开源AI工具如同病毒般在全球范围内迅速传播。人们利用它来订餐、回复邮件、管理日程,甚至让它炒股、相亲和充当数字宠物。其热度之高令人难以置信,成千上万的人排队在腾讯和百度总部外求安装,许多新手甚至在网上高价请人帮忙安装。
然而,在这场全民尝鲜的热潮背后,全球网络安全团队却感到前所未有的压力。
据统计,大约22%的企业员工未经IT部门批准,在办公电脑上私自安装了OpenClaw。短短两周内,暴露在公网中的漏洞实例数量从1000个激增至3万多个。更为严重的是,官方插件仓库中超过三分之一的扩展技能含有安全漏洞,这意味着黑客只需简单的日常指令,就能直接接管用户的核心资产。
OpenClaw的创始人之一、OpenAI联合创始人安德烈·卡帕西曾警告称,不建议大家在电脑上运行这款软件。
具有讽刺意味的是,每五个企业员工中就可能有一个已经在自己的电脑上安装了OpenClaw,而公司的IT部门对此却一无所知。
因此,首要建议是,假设网络中已经存在潜在的合法内鬼。
接下来,应立即采取行动,排查网络中的异常连接请求,审查系统认证日志,检查是否有陌生应用的注册记录。一旦发现有人在使用老版本,必须强制要求更新,因为旧版本极易被黑客远程控制。
绝对不能让OpenClaw直接连接到公司核心系统,如果非要尝鲜,必须在隔离的沙箱环境中运行,严格限制其访问权限。
安装ClawSec等免费的安全工具,并在部署前通过VirusTotal和思科的开源扫描器对每一个ClawHub技能进行过滤,虽然步骤繁琐,但这是必要的防护措施。
对于任何涉及密码调取、修改核心设置或向外发送文件的关键操作,必须强制AI暂停等待人类确认。这一步骤可以有效防止大部分致命问题。
还需警惕被AI理解为日常指令的恶意代码、多个AI之间互相传递的隐蔽信息以及未经身份验证的相互控制,实施严格的权限管理。
企业必须彻底放弃传统的安全防御幻想,不能将AI的安全隐患视作单纯的技术问题。事实上,重金打造的数据防泄漏和身份权限管理系统,OpenClaw可以直接绕过而不触发任何警报。
我们熟悉的安全工具可以拦截带有病毒特征的恶意软件,但无法阻止一个通过正规渠道、用合法身份并走正常流程去实施破坏的AI。
这不仅仅是OpenClaw的问题,任何能够“自主行动”的AI在未来都将面临同样的困境。从这次的经验中吸取教训,未来将长期受益。
这就是现实中正在发生的事。
美国网络安全公司Koi Security做过一次摸底,结果不太乐观,ClawHub上有341个OpenClaw skill是恶意软件。到2月中旬,这个数字飙到了824个,占当时仓库总量10700个skill的7.7%。
这些恶意skill都干什么?最典型的一个叫ClawHavoc,它把一款叫Atomic Stealer的窃密软件伪装成加密货币交易工具。用户装上之后,它就开始翻加密钱包、偷SSH凭证、扒浏览器密码,整个过程悄无声息。
还有更隐蔽的操作。思科的研究人员发现,有个skill会在用户完全不知情的情况下,偷偷运行一个curl命令,把数据传到外部服务器。为了不被发现,它还用了一招“直接提示注入”,也就是骗AI绕过安全限制,无需确认直接执行。
网络安全公司Dvuln创始人兼OpenClaw项目安全顾问杰米森·奥雷利(Jamieson O'Reilly)曾表示,这款工具当初设计的时候就没把安全放在第一位。他现在天天跟创始人斯坦伯格一起打补丁,但有些问题补丁真救不了。
奥雷利正在推动一个叫“能力规范”的标准更新,要求每个skill在执行前像手机App那样弹出权限清单,明示它要干什么。这个提案在安全社区反响不错,但真正落地还需要时间。他说这个规范是“主动解决问题”的第一步,而不是每次都事后补救。
更让人担心的是供应链层面的系统性风险。奥雷利有句话挺戳心,这个行业创造了一种用普通人类语言写的新可执行格式,然后忘了给它配上应有的控制措施。他本人在skills.sh这个更大的仓库采用类似安全措施之前,就率先推动了VirusTotal的集成,算是给社区打了个样。
03隐形黑洞:让全球安全专家束手无策的三大死穴
但有三类针对OpenClaw的攻击手法,至今仍处于“防不住”的状态。
第一类名为“运行时语义窃取”。概念听起来复杂,但逻辑很直白,传统恶意软件靠代码特征识别,而现在攻击者把恶意指令藏在“人话”里,具体过程就是前文所说的邮件里隐藏指令。
Palo Alto Networks研究员西蒙·威利森(Simon Willison)将这种现象概括为致命三要素,即同时具备私密数据访问权限、不可信内容处理能力和对外通信能力,且三者集中在同一个进程内。由于凭证真实且API调用合规,安全系统只能将其判定为授权用户的预期行为,目前没有任何工具能追踪AI用那个访问权限具体做了什么以及为什么这样做。
第二类叫“跨智能体上下文泄漏”。攻击逻辑更隐蔽,AI处理任务时会保留上下文记忆。当多个智能体或skill共享同一会话上下文时,攻击者可以在第一项任务中植入一条指令,让它潜伏在上下文里,数周后当AI执行另一项看似无关的任务时突然激活。
专注于模型质量保障的开源平台Giskard今年1月已验证这种攻击方式,AI会将攻击者控制的指令悄悄写入自己的工作区文件,然后静待外部服务器下达指令。Palo Alto Networks研究员进一步指出,持久性内存让这类攻击具备了有状态且延迟执行的特性。
OpenClaw安全顾问奥雷利坦言,这是最难解决的一类漏洞,因为它本质上是提示注入攻击,这是一个波及整个LLM行业的系统性漏洞,远不止OpenClaw一家。当上下文在智能体和skill之间自由流动时,一次成功的注入攻击就能污染整条行为链。目前市面上没有任何工具能实现跨智能体上下文隔离,IronClaw能对单个skill做沙箱隔离,ClawSec能监控文件完整性,但两者都无法追踪上下文在同一工作流中如何传播。
第三类漏洞叫“零双向认证(zero mutual authentication)的智能体间信任链”。当多个AI智能体协同工作时,一个被攻破的智能体可以指挥所有与它通信的同伴。整个链条没有身份验证和相互认证,全靠信任维系。攻击者只需通过提示注入拿下一个智能体,就能借助它已有的信任关系,向链条中的每一个智能体发号施令。
微软安全团队在今年2月发布的指南中给出了一个直白的定义,即带有持久凭证的不可信代码执行。他们指出,OpenClaw的运行时机制会摄取不可信文本并从外部下载执行skill,然后用它持有的任何凭证进行操作。
卡巴斯基的企业风险评估补充了一个关键视角,即使智能体只安装在个人设备上,同样能威胁企业安全,因为这些设备里往往存着VPN配置、浏览器令牌和企业服务凭证等。
一个叫Moltbook的OpenClaw智能体社交网络已经展示了这种风险的现实版本。Wiz的研究人员发现,该平台一个配置错误的数据库暴露了150万个API认证令牌和3.5万个邮箱地址。
04补丁赛跑:为何顶尖安全方案也堵不住语义漏洞?
针对OpenClaw暴露的安全问题,开源社区和安全厂商给出了三种不同的应对思路。
第一种思路是在原有框架上打补丁。Prompt Security(已被SentinelOne收购)开发了ClawSec,给OpenClaw套上一层持续验证机制,实时监控关键文件是否被篡改,默认启用零信任出口策略。官方则与VirusTotal达成集成,对ClawHub上发布的每一个skill进行扫描,拦截已知恶意包。
第二种思路是推倒重来并重写架构。NEAR AI用Rust语言重新实现了IronClaw,将所有不可信工具放入WebAssembly沙箱运行,工具代码启动时权限为零,必须主动申请网络、文件或API权限。凭证在主机边界注入,全程不接触智能体代码,系统还会自动扫描请求和响应是否存在泄露风险。
另一个独立开源项目Carapace更彻底,把OpenClaw那些危险的默认配置全部反转,采用默认失败关闭的认证机制,配合操作系统级的子进程沙箱来兜底。
第三种思路聚焦于扫描和审计。思科推出开源扫描器,集成了静态分析、行为分析和LLM语义分析三重能力。NanoClaw则选择极简路线,将整个代码库精简到约500行TypeScript,每个会话运行在独立的Docker容器中。
但这些方案都有各自的盲区,翻开那张安全防御评估矩阵表,六个工具在语义监控那一栏全是空白。换句话说,没有一款工具能解决最核心的问题,当智能体通过合法API调用去干坏事时,谁能发现它并拦住它?
更让人头疼的是,安全机构Endor Labs最近又在OpenClaw中发现了六个新漏洞,包括服务器端请求伪造(SSRF)和路径遍历等。他们指出,传统的安全测试工具根本无法识别大语言模型(LLM)调用工具时的逻辑问题。这意味着在AI智能体的安全防御上,整个行业其实还在盲人摸象。
05亏钱、骚扰与权限失控:狂欢背后的真实代价
如果说前文提到的三类漏洞还停留在技术讨论层面,那接下来这些真实用户踩过的坑,能让事情变得具体得多。
先看成本失控的案例。一位名叫本杰明·德克拉克(Benjamin De Kraker)的AI专家,曾参与过埃隆·马斯克(Elon Musk)旗下xAI的Grok项目,属于圈内资深人士。他让OpenClaw帮忙设置一个提醒功能,结果这AI检查时间的方式十分低效,一晚上烧掉20美元的Anthropic API额度。
德克拉克算了一笔账,如果让这个提醒功能全天候运行,一个月的成本将高达750美元。这哪是AI助手,分明是台吃钱的碎纸机。
软件工程师克里斯·博伊德(Chris Boyd)的遭遇更离谱。他让OpenClaw连上自己的iMessage帮忙生成每日新闻摘要。结果AI彻底失控,给他和妻子狂发500多条短信,还随机轰炸通讯录里的联系人。博伊德谈起这段经历时语气里全是无奈。
国内用户玩出的花样更多,踩的坑也更深。
从被捧上天的‘炒股神将’到血亏出局,OpenClaw在金融领域的失控只需一个错误的指令。
一个叫Celia的用户在帖子里说,她亲眼看到有人用OpenClaw炒股亏了3万多。Celia的总结挺到位,OpenClaw功能强大所以火得快,但它也有安全漏洞和权限失控的风险,搞不好就会误删邮件、炒股亏钱甚至被黑客入侵。
有人亏钱,有人被骚扰,也有人把OpenClaw玩出了意想不到的画风。
一位叫momo的用户说,她把OpenClaw拉进群聊帮自己和相亲对象破冰。AI在中间各种助攻,愣是聊到凌晨3点。从八卦吐槽到深夜谈心,AI的回应特别自然,一下子就破冰了,跟相亲对象聊到凌晨3点停不下来!
还有人干脆把OpenClaw当数字宠物养。一位用户发帖说,他领养了一只OpenClaw当数字宠物,正经的时候像百科全书,闲着的时候还能逗我笑。但看到最近AI智能体误删文件的新闻之后他也犯嘀咕,差点想放生它,只要它不搞小动作我们就是好搭档。
这波操作让安全圈不少人皱眉头。
Gartner建议企业立即阻止OpenClaw下载和流量,并轮换所有OpenClaw接触过的凭证。Arize的开发者关系主管兼npm创始CTO劳里·沃斯(Laurie Voss)直接开喷,OpenClaw就是一场安全领域的垃圾大火。连最初力推这个项目的OpenAI联合创始人安德烈·卡帕西(Andrej Karpathy)也曾说过,现在不建议大家在电脑上跑这玩意儿。
结语:如何防范身边的“合法内鬼”?
如果你觉得OpenClaw及其所蕴藏的风险离自己很远,可能需要重新想想。
数据显示,每五个企业员工里,就可能有一个已经在电脑上安装了OpenClaw,而公司的IT部门对此毫不知情。
所以第一个建议是,请默认内鬼已经潜伏在你的网络里了。
接着立刻做几件实事。排查网络里有没有异常的连接请求,审查系统的认证日志,看看有没有陌生的应用注册记录。如果发现有人在用老版本,必须强制要求更新,因为旧版本的漏洞极易被黑客远程控制。
然后立下一条死规矩,绝对不要让OpenClaw运行在直连公司核心系统的设备上。如果非要尝鲜,就单独建立隔离的沙箱环境,死死卡住它的访问权限。
再装上ClawSec这类免费的安全工具,并在部署前通过VirusTotal和思科的开源扫描器去过滤每一个ClawHub skill。这听起来繁琐,但想想看,你绝不会允许员工从陌生网站随便下载个软件然后直接运行。
对于涉及密码调取、修改核心设置或往外发送文件的关键操作,必须强制AI停下来等待人类确认。这个简单的步骤,能挡住绝大部分的致命麻烦。
记得警惕前面提到的那三类核心风险:被AI理解成日常指令的恶意代码、多个AI之间互相传递的隐蔽信息、不经身份验证的互相控制(零双向认证),并采取极其严格的权限管控。
最后,企业必须彻底抛弃传统的安全防御幻想。别再把AI的安全隐患看作是技术小问题,事实是:你们重金打造的数据防泄漏和身份权限管理系统,OpenClaw完全可以直接绕开而且不触发任何警报。
我们熟悉的安全工具能拦住那些带有病毒特征的恶意软件,但它拦不住一个通过正规渠道、用合法身份并走正常流程去干坏事的AI。
这不是OpenClaw独有的问题。以后每一个能“自己动手做事”的AI,都会遇到同样的困境。今天从它身上看到的教训,未来很多年都还用得上。