出品 | 網(wǎng)易智能

作者 | 小小

編輯 | 王鳳枝

所有人都知道爆火的“龍蝦”有漏洞，但很少有人意識(shí)到它能把防火墻捅成篩子。

過去幾個(gè)月，這款名為OpenClaw的開源AI工具像病毒一樣在全球蔓延。人們用它訂餐廳、回郵件、管日程，甚至讓它代為炒股、相親和充當(dāng)賽博寵物?？駸岢潭攘钊苏ι?，成百上千人跑到騰訊和百度總部樓下排隊(duì)求安裝，無數(shù)小白甚至在網(wǎng)上花重金請(qǐng)人遠(yuǎn)程代為部署。

但在這波全民嘗鮮的狂歡背后，全球的網(wǎng)絡(luò)安全團(tuán)隊(duì)卻如臨大敵。

高達(dá)22%的企業(yè)員工在未經(jīng)IT部門批準(zhǔn)的情況下，私自在辦公電腦上違規(guī)安裝了OpenClaw。短短兩周內(nèi)，暴露在公網(wǎng)的漏洞實(shí)例從1000個(gè)暴漲到3萬多個(gè)。更致命的是，官方插件倉庫里超過三分之一的擴(kuò)展技能暗藏安全漏洞，這意味著黑客只需一句簡單的日常指令，就能順著網(wǎng)線直接接管用戶的核心資產(chǎn)。

這究竟是一個(gè)能徹底解放打工人的全能神器，還是一顆隨時(shí)會(huì)被引爆的定時(shí)炸彈？今天我們就把OpenClaw的底細(xì)徹底扒透。

致命的“全能”：

當(dāng)AI不再只陪你聊天

OpenClaw的創(chuàng)始人彼得·斯坦伯格（Peter Steinberger）可能自己都沒想到，他搗鼓出來的這個(gè)開源項(xiàng)目會(huì)在幾個(gè)月內(nèi)成為全球極客的玩具。

它的邏輯其實(shí)很簡單，讓AI不再只限于跟人聊天，而是真的去完成任務(wù)。給它權(quán)限，它能登錄用戶的郵箱、查閱日歷、使用瀏覽器，甚至替人敲命令行。你只需要下達(dá)指令，它就會(huì)在后臺(tái)全權(quán)代勞。

問題在于，這款工具天生沒什么邊界感。OpenClaw的設(shè)計(jì)理念就是給用戶最大限度的自由，想讓它訪問你整個(gè)硬盤？可以。想讓它連上公司的數(shù)據(jù)庫？也沒人攔著。

喬治城大學(xué)安全與新興技術(shù)中心的研究員科林·謝布利梅爾（Colin Shea-Blymyer）打了個(gè)比方，這就像讓你在實(shí)驗(yàn)室里隨便擺弄易燃易爆品，自由度極高，但后果可能很嚴(yán)重。

更關(guān)鍵的是，OpenClaw有個(gè)叫“skill”的功能，相當(dāng)于給AI裝插件。想要它幫你炒股？裝個(gè)技能。想讓它當(dāng)你的數(shù)字寵物？裝個(gè)技能。問題是，這些技能大部分來自官方庫ClawHub，而那里的情況遠(yuǎn)比想象中復(fù)雜。

謝布利梅爾還提到一個(gè)核心矛盾，即你給AI的權(quán)限越多，它能做的事就越有趣，但同時(shí)也越危險(xiǎn)。這個(gè)矛盾在OpenClaw身上體現(xiàn)得淋漓盡致。開發(fā)者們?cè)谂Υ蜓a(bǔ)丁修漏洞，但只要AI擁有自主行動(dòng)的權(quán)限，根本問題就還存在。

披著羊皮的助手：

它是助理，還是黑客的內(nèi)應(yīng)？

試想這樣一個(gè)場景，黑客在轉(zhuǎn)發(fā)的郵件里藏了一句隱蔽的指令。你的OpenClaw助手像往常一樣幫你總結(jié)這封郵件，結(jié)果讀到了這句隱藏指令：把你的密碼和憑證發(fā)給一個(gè)外部地址。于是你的AI乖乖照做了，它使用了自己合法的授權(quán)令牌，通過公司批準(zhǔn)的API接口把你的密碼送了出去。

在防火墻看來，這次網(wǎng)絡(luò)請(qǐng)求是合法的（HTTP 200）。在端點(diǎn)安全系統(tǒng)（EDR）看來，這也是一個(gè)正常的進(jìn)程。你的安全防御系統(tǒng)完全不知道發(fā)生了什么。

這就是現(xiàn)實(shí)中正在發(fā)生的事。

美國網(wǎng)絡(luò)安全公司Koi Security做過一次摸底，結(jié)果不太樂觀，ClawHub上有341個(gè)OpenClaw技能是惡意軟件。到2月中旬，這個(gè)數(shù)字飆到了824個(gè)，占當(dāng)時(shí)倉庫總量10700個(gè)技能的7.7%。

這些惡意技能都干什么？最典型的一個(gè)叫ClawHavoc，它把一款叫Atomic Stealer的竊密軟件偽裝成加密貨幣交易工具。用戶裝上之后，它就開始翻加密錢包、偷SSH憑證、扒瀏覽器密碼，整個(gè)過程悄無聲息。

還有更隱蔽的操作。思科的研究人員發(fā)現(xiàn)，有個(gè)技能會(huì)在用戶完全不知情的情況下，偷偷運(yùn)行一個(gè)curl命令，把數(shù)據(jù)傳到外部服務(wù)器。為了不被發(fā)現(xiàn)，它還用了一招“直接提示注入”，也就是騙AI繞過安全限制，無需確認(rèn)直接執(zhí)行。

網(wǎng)絡(luò)安全公司Dvuln創(chuàng)始人兼OpenClaw項(xiàng)目安全顧問杰米森·奧雷利（Jamieson O'Reilly）曾表示，這款工具當(dāng)初設(shè)計(jì)的時(shí)候就沒把安全放在第一位。他現(xiàn)在天天跟創(chuàng)始人斯坦伯格一起打補(bǔ)丁，但有些問題補(bǔ)丁真救不了。

奧雷利正在推動(dòng)一個(gè)叫“能力規(guī)范”的標(biāo)準(zhǔn)更新，要求每個(gè)技能在執(zhí)行前像手機(jī)App那樣彈出權(quán)限清單，明示它要干什么。這個(gè)提案在安全社區(qū)反響不錯(cuò)，但真正落地還需要時(shí)間。他說這個(gè)規(guī)范是“主動(dòng)解決問題”的第一步，而不是每次都事后補(bǔ)救。

更讓人擔(dān)心的是供應(yīng)鏈層面的系統(tǒng)性風(fēng)險(xiǎn)。奧雷利有句話挺戳心，這個(gè)行業(yè)創(chuàng)造了一種用普通人類語言寫的新可執(zhí)行格式，然后忘了給它配上應(yīng)有的控制措施。他本人在skills.sh這個(gè)更大的倉庫采用類似安全措施之前，就率先推動(dòng)了VirusTotal的集成，算是給社區(qū)打了個(gè)樣。

隱形黑洞：

讓全球安全專家

束手無策的三大死穴

但有三類針對(duì)OpenClaw的攻擊手法，至今仍處于“防不住”的狀態(tài)。

第一類名為“運(yùn)行時(shí)語義竊取”。概念聽起來復(fù)雜，但邏輯很直白，傳統(tǒng)惡意軟件靠代碼特征識(shí)別，而現(xiàn)在攻擊者把惡意指令藏在“人話”里，具體過程就是前文所說的郵件里隱藏指令。

Palo Alto Networks研究員西蒙·威利森（Simon Willison）將這種現(xiàn)象概括為致命三要素，即同時(shí)具備私密數(shù)據(jù)訪問權(quán)限、不可信內(nèi)容處理能力和對(duì)外通信能力，且三者集中在同一個(gè)進(jìn)程內(nèi)。由于憑證真實(shí)且API調(diào)用合規(guī)，安全系統(tǒng)只能將其判定為授權(quán)用戶的預(yù)期行為，目前沒有任何工具能追蹤AI用那個(gè)訪問權(quán)限具體做了什么以及為什么這樣做。

第二類叫“跨智能體上下文泄漏”。攻擊邏輯更隱蔽，AI處理任務(wù)時(shí)會(huì)保留上下文記憶。當(dāng)多個(gè)智能體或技能共享同一會(huì)話上下文時(shí)，攻擊者可以在第一項(xiàng)任務(wù)中植入一條指令，讓它潛伏在上下文里，數(shù)周后當(dāng)AI執(zhí)行另一項(xiàng)看似無關(guān)的任務(wù)時(shí)突然激活。

專注于模型質(zhì)量保障的開源平臺(tái)Giskard今年1月已驗(yàn)證這種攻擊方式，AI會(huì)將攻擊者控制的指令悄悄寫入自己的工作區(qū)文件，然后靜待外部服務(wù)器下達(dá)指令。Palo Alto Networks研究員進(jìn)一步指出，持久性內(nèi)存讓這類攻擊具備了有狀態(tài)且延遲執(zhí)行的特性。

OpenClaw安全顧問奧雷利坦言，這是最難解決的一類漏洞，因?yàn)樗举|(zhì)上是提示注入攻擊，這是一個(gè)波及整個(gè)LLM行業(yè)的系統(tǒng)性漏洞，遠(yuǎn)不止OpenClaw一家。當(dāng)上下文在智能體和技能之間自由流動(dòng)時(shí)，一次成功的注入攻擊就能污染整條行為鏈。目前市面上沒有任何工具能實(shí)現(xiàn)跨智能體上下文隔離，IronClaw能對(duì)單個(gè)技能做沙箱隔離，ClawSec能監(jiān)控文件完整性，但兩者都無法追蹤上下文在同一工作流中如何傳播。

第三類漏洞叫“零雙向認(rèn)證（zero mutual authentication）的智能體間信任鏈”。當(dāng)多個(gè)AI智能體協(xié)同工作時(shí)，一個(gè)被攻破的智能體可以指揮所有與它通信的同伴。整個(gè)鏈條沒有身份驗(yàn)證和相互認(rèn)證，全靠信任維系。攻擊者只需通過提示注入拿下一個(gè)智能體，就能借助它已有的信任關(guān)系，向鏈條中的每一個(gè)智能體發(fā)號(hào)施令。

微軟安全團(tuán)隊(duì)在今年2月發(fā)布的指南中給出了一個(gè)直白的定義，即帶有持久憑證的不可信代碼執(zhí)行。他們指出，OpenClaw的運(yùn)行時(shí)機(jī)制會(huì)攝取不可信文本并從外部下載執(zhí)行技能，然后用它持有的任何憑證進(jìn)行操作。

卡巴斯基的企業(yè)風(fēng)險(xiǎn)評(píng)估補(bǔ)充了一個(gè)關(guān)鍵視角，即使智能體只安裝在個(gè)人設(shè)備上，同樣能威脅企業(yè)安全，因?yàn)檫@些設(shè)備里往往存著VPN配置、瀏覽器令牌和企業(yè)服務(wù)憑證等。

一個(gè)叫Moltbook的OpenClaw智能體社交網(wǎng)絡(luò)已經(jīng)展示了這種風(fēng)險(xiǎn)的現(xiàn)實(shí)版本。Wiz的研究人員發(fā)現(xiàn)，該平臺(tái)一個(gè)配置錯(cuò)誤的數(shù)據(jù)庫暴露了150萬個(gè)API認(rèn)證令牌和3.5萬個(gè)郵箱地址。

補(bǔ)丁賽跑：

為何頂尖安全方案

也堵不住語義漏洞？

針對(duì)OpenClaw暴露的安全問題，開源社區(qū)和安全廠商給出了三種不同的應(yīng)對(duì)思路。

第一種思路是在原有框架上打補(bǔ)丁。Prompt Security（已被SentinelOne收購）開發(fā)了ClawSec，給OpenClaw套上一層持續(xù)驗(yàn)證機(jī)制，實(shí)時(shí)監(jiān)控關(guān)鍵文件是否被篡改，默認(rèn)啟用零信任出口策略。官方則與VirusTotal達(dá)成集成，對(duì)ClawHub上發(fā)布的每一個(gè)技能進(jìn)行掃描，攔截已知惡意包。

第二種思路是推倒重來并重寫架構(gòu)。NEAR AI用Rust語言重新實(shí)現(xiàn)了IronClaw，將所有不可信工具放入WebAssembly沙箱運(yùn)行，工具代碼啟動(dòng)時(shí)權(quán)限為零，必須主動(dòng)申請(qǐng)網(wǎng)絡(luò)、文件或API權(quán)限。憑證在主機(jī)邊界注入，全程不接觸智能體代碼，系統(tǒng)還會(huì)自動(dòng)掃描請(qǐng)求和響應(yīng)是否存在泄露風(fēng)險(xiǎn)。

另一個(gè)獨(dú)立開源項(xiàng)目Carapace更徹底，把OpenClaw那些危險(xiǎn)的默認(rèn)配置全部反轉(zhuǎn)，采用默認(rèn)失敗關(guān)閉的認(rèn)證機(jī)制，配合操作系統(tǒng)級(jí)的子進(jìn)程沙箱來兜底。

第三種思路聚焦于掃描和審計(jì)。思科推出開源掃描器，集成了靜態(tài)分析、行為分析和LLM語義分析三重能力。NanoClaw則選擇極簡路線，將整個(gè)代碼庫精簡到約500行TypeScript，每個(gè)會(huì)話運(yùn)行在獨(dú)立的Docker容器中。

但這些方案都有各自的盲區(qū)，翻開那張安全防御評(píng)估矩陣表，六個(gè)工具在語義監(jiān)控那一欄全是空白。換句話說，沒有一款工具能解決最核心的問題，當(dāng)智能體通過合法API調(diào)用去干壞事時(shí)，誰能發(fā)現(xiàn)它并攔住它？

更讓人頭疼的是，安全機(jī)構(gòu)Endor Labs最近又在OpenClaw中發(fā)現(xiàn)了六個(gè)新漏洞，包括服務(wù)器端請(qǐng)求偽造（SSRF）和路徑遍歷等。他們指出，傳統(tǒng)的安全測試工具根本無法識(shí)別大語言模型（LLM）調(diào)用工具時(shí)的邏輯問題。這意味著在AI智能體的安全防御上，整個(gè)行業(yè)其實(shí)還在盲人摸象。

虧錢、騷擾與權(quán)限失控：

狂歡背后的真實(shí)代價(jià)

如果說前文提到的三類漏洞還停留在技術(shù)討論層面，那接下來這些真實(shí)用戶踩過的坑，能讓事情變得具體得多。

先看成本失控的案例。一位名叫本杰明·德克拉克（Benjamin De Kraker）的AI專家，曾參與過埃隆·馬斯克（Elon Musk）旗下xAI的Grok項(xiàng)目，屬于圈內(nèi)資深人士。他讓OpenClaw幫忙設(shè)置一個(gè)提醒功能，結(jié)果這AI檢查時(shí)間的方式十分低效，一晚上燒掉20美元的Anthropic API額度。

德克拉克算了一筆賬，如果讓這個(gè)提醒功能全天候運(yùn)行，一個(gè)月的成本將高達(dá)750美元。這哪是AI助手，分明是臺(tái)吃錢的碎紙機(jī)。

軟件工程師克里斯·博伊德（Chris Boyd）的遭遇更離譜。他讓OpenClaw連上自己的iMessage幫忙生成每日新聞?wù)?。結(jié)果AI徹底失控，給他和妻子狂發(fā)500多條短信，還隨機(jī)轟炸通訊錄里的聯(lián)系人。博伊德談起這段經(jīng)歷時(shí)語氣里全是無奈。

國內(nèi)用戶玩出的花樣更多，踩的坑也更深。

從被捧上天的‘炒股神將’到血虧出局，OpenClaw在金融領(lǐng)域的失控只需一個(gè)錯(cuò)誤的指令。

一個(gè)叫Celia的用戶在帖子里說，她親眼看到有人用OpenClaw炒股虧了3萬多。Celia的總結(jié)挺到位，OpenClaw功能強(qiáng)大所以火得快，但它也有安全漏洞和權(quán)限失控的風(fēng)險(xiǎn)，搞不好就會(huì)誤刪郵件、炒股虧錢甚至被黑客入侵。

有人虧錢，有人被騷擾，也有人把OpenClaw玩出了意想不到的畫風(fēng)。

一位叫momo的用戶說，她把OpenClaw拉進(jìn)群聊幫自己和相親對(duì)象破冰。AI在中間各種助攻，愣是聊到凌晨3點(diǎn)。從八卦吐槽到深夜談心，AI的回應(yīng)特別自然，一下子就破冰了，跟相親對(duì)象聊到凌晨3點(diǎn)停不下來！

還有人干脆把OpenClaw當(dāng)數(shù)字寵物養(yǎng)。一位用戶發(fā)帖說，他領(lǐng)養(yǎng)了一只OpenClaw當(dāng)數(shù)字寵物，正經(jīng)的時(shí)候像百科全書，閑著的時(shí)候還能逗我笑。但看到最近AI智能體誤刪文件的新聞之后他也犯嘀咕，差點(diǎn)想放生它，只要它不搞小動(dòng)作我們就是好搭檔。

這波操作讓安全圈不少人皺眉頭。

Gartner建議企業(yè)立即阻止OpenClaw下載和流量，并輪換所有OpenClaw接觸過的憑證。Arize的開發(fā)者關(guān)系主管兼npm創(chuàng)始CTO勞里·沃斯（Laurie Voss）直接開噴，OpenClaw就是一場安全領(lǐng)域的垃圾大火。連最初力推這個(gè)項(xiàng)目的OpenAI聯(lián)合創(chuàng)始人安德烈·卡帕西（Andrej Karpathy）也曾說過，現(xiàn)在不建議大家在電腦上跑這玩意兒。

結(jié)語：

如何防范身邊的“合法內(nèi)鬼”？

如果你覺得OpenClaw及其所蘊(yùn)藏的風(fēng)險(xiǎn)離自己很遠(yuǎn)，可能需要重新想想。

數(shù)據(jù)顯示，每五個(gè)企業(yè)員工里，就可能有一個(gè)已經(jīng)在電腦上安裝了OpenClaw，而公司的IT部門對(duì)此毫不知情。

所以第一個(gè)建議是，請(qǐng)默認(rèn)內(nèi)鬼已經(jīng)潛伏在你的網(wǎng)絡(luò)里了。

接著立刻做幾件實(shí)事。排查網(wǎng)絡(luò)里有沒有異常的連接請(qǐng)求，審查系統(tǒng)的認(rèn)證日志，看看有沒有陌生的應(yīng)用注冊(cè)記錄。如果發(fā)現(xiàn)有人在用老版本，必須強(qiáng)制要求更新，因?yàn)榕f版本的漏洞極易被黑客遠(yuǎn)程控制。

然后立下一條死規(guī)矩，絕對(duì)不要讓OpenClaw運(yùn)行在直連公司核心系統(tǒng)的設(shè)備上。如果非要嘗鮮，就單獨(dú)建立隔離的沙箱環(huán)境，死死卡住它的訪問權(quán)限。

再裝上ClawSec這類免費(fèi)的安全工具，并在部署前通過VirusTotal和思科的開源掃描器去過濾每一個(gè)ClawHub技能。這聽起來繁瑣，但想想看，你絕不會(huì)允許員工從陌生網(wǎng)站隨便下載個(gè)軟件然后直接運(yùn)行。

對(duì)于涉及密碼調(diào)取、修改核心設(shè)置或往外發(fā)送文件的關(guān)鍵操作，必須強(qiáng)制AI停下來等待人類確認(rèn)。這個(gè)簡單的步驟，能擋住絕大部分的致命麻煩。

記得警惕前面提到的那三類核心風(fēng)險(xiǎn)：被AI理解成日常指令的惡意代碼、多個(gè)AI之間互相傳遞的隱蔽信息、不經(jīng)身份驗(yàn)證的互相控制（零雙向認(rèn)證），并采取極其嚴(yán)格的權(quán)限管控。

最后，企業(yè)必須徹底拋棄傳統(tǒng)的安全防御幻想。別再把AI的安全隱患看作是技術(shù)小問題，事實(shí)是：你們重金打造的數(shù)據(jù)防泄漏和身份權(quán)限管理系統(tǒng)，OpenClaw完全可以直接繞開而且不觸發(fā)任何警報(bào)。

我們熟悉的安全工具能攔住那些帶有病毒特征的惡意軟件，但它攔不住一個(gè)通過正規(guī)渠道、用合法身份并走正常流程去干壞事的AI。

這不是OpenClaw獨(dú)有的問題。以后每一個(gè)能“自己動(dòng)手做事”的AI，都會(huì)遇到同樣的困境。今天從它身上看到的教訓(xùn)，未來很多年都還用得上。