云服务商竞相推出OpenClaw即服务产品，但安全风险巨大

如果你敢于运行明显不安全的AI助手OpenClaw，已有多家云服务商开始提供相关的云服务。

OpenClaw是开发者Peter Steinberger在经历从Clawdbot到Moltbot的名称变更后最终确定的名字，它是一个AI智能体平台。用户可以向其提供各种在线服务的凭证，并通过Telegram或WhatsApp等消息应用程序发送指令，让OpenClaw代为操作这些服务。据Steinberger介绍，它能够"清理收件箱、发送邮件、管理日历、办理航班值机手续"。

使用OpenClaw的AI功能需要访问AI模型，可以通过连接API或在本地运行模型来实现。后者显然引发了购买苹果599美元Mac Mini的热潮。

OpenClaw是一个全新且基本未经测试的产品，正是云服务运营商长期声称自己擅长托管的那类工作负载，用户可以先获得一些使用经验，然后再投入生产环境。

因此，云服务商迅速开发了OpenClaw即服务产品。

中国腾讯云是早期行动者，上周为其轻量应用服务器（Lighthouse）提供了一键安装工具。该服务允许用户部署小型服务器并安装应用程序或环境，每月只需几美元。

DigitalOcean几天后也提供了类似的说明文档，针对其Droplets基础设施即服务产品。

阿里云今天推出了相关服务，在19个地区提供，起价4美元/月，使用其简单应用服务器——相当于Lighthouse或Droplets的产品。有趣的是，这家中国巨头表示很快将在其弹性计算服务（相当于AWS EC2的完整基础设施即服务）和弹性桌面服务上提供OpenClaw，这意味着可以租用云端PC来运行AI助手。

严重安全警告

分析公司Gartner使用了异常强烈的措辞建议不要使用OpenClaw。

在题为"OpenClaw智能体生产力伴随不可接受的网络安全风险"的新建议中，该公司将这款软件描述为"智能体AI的危险预览，展现了高实用性，但将企业暴露在'默认不安全'的风险中，如明文凭证存储"。

该公司补充说："OpenClaw的影子部署创建了单点故障，因为被攻破的主机会将API密钥、OAuth令牌和敏感对话暴露给攻击者。"随后建议企业应立即阻止OpenClaw的下载和流量，并停止访问该软件的流量。

接下来，搜索任何访问OpenClaw的用户并告知他们停止使用，因为使用该软件可能涉及违反安全控制。

如果必须运行，Gartner建议只在隔离的非生产虚拟机中使用一次性凭证进行操作。

"这不是企业软件。没有质量保证，没有供应商支持，没有服务等级协议……默认情况下没有强制身份验证。这不是可以通过企业管理面板管理的软件即服务产品，"Gartner建议。

该公司还建议轮换OpenClaw接触的任何凭证，因为这个AI工具使用明文存储和糟糕的安全机制，意味着恶意行为者有机会将登录详细信息用于邪恶目的。所以也许不要急于在工作场所或任何地方使用那些云端OpenClaw服务？

Q&A

Q1：OpenClaw是什么？它能做什么？

A：OpenClaw是一个AI智能体平台，用户可以向其提供各种在线服务的凭证，并通过Telegram或WhatsApp等消息应用程序发送指令，让OpenClaw代为操作这些服务。它能够清理收件箱、发送邮件、管理日历、办理航班值机手续等。

Q2：为什么Gartner强烈建议不要使用OpenClaw？

A：Gartner认为OpenClaw存在严重的网络安全风险，包括明文凭证存储、默认情况下没有强制身份验证、创建单点故障等问题。它不是企业级软件，没有质量保证、供应商支持或服务等级协议，被攻破的主机会将敏感信息暴露给攻击者。

Q3：哪些云服务商提供OpenClaw即服务？

A：目前腾讯云、DigitalOcean和阿里云都已推出OpenClaw即服务产品。腾讯云为其轻量应用服务器提供一键安装工具，DigitalOcean针对Droplets产品提供相关说明，阿里云在19个地区提供服务，起价4美元/月。