网易首页 > 网易号 > 正文 申请入驻

“OpenClaw惹祸了!我的电脑居然自我入侵…”

0
分享至


一群深耕 AI 安全、还专门研发安全工具的技术专家,本以为防御固若金汤,结果自己搭建的沙箱环境瞬间被攻破,密钥全盘泄露,当场 “翻车”。

你可能以为是遭遇了顶尖黑客攻击,或是用了有风险的插件,但真相出人意料 ——问题根本不在外部,而在 AI 自身。

仅仅因为 AI 助手在拼接命令时,把一段普通文本误当成了 Bash 命令执行,就引发了这场离谱的安全事故。

原文链接:https://substack.com/home/post/p-189184829

作者 | Aaron Zhao、ilia shumailov等 责编 | 苏宓

出品 | CSDN(ID:CSDNnews)

作为 AI 安全研究员和资深开发者,我们一直以为,不管是知识储备还是实战能力,我们都有足够的能力防御各类攻击。讽刺的是,我们前阵子刚发了一篇文章,分享怎么攻击 OpenClaw 机器人。


先简单介绍一下我们 sequrity.ai:我们做的是安全工具,目标是让 AI 智能体从设计层面就足够安全。

也正因为这样,接下来发生的事就格外讽刺:

  • 我们技术功底很扎实,既懂 AI 也懂安全;

  • 公司内部就在做评估体系,用来追踪工具对模型效果的影响;

  • 最后被攻破的这个沙箱,我们甚至根本没考虑对抗性攻击:基准测试本身不包含任何攻击逻辑,而且环境是我们自己设计、自己实现的;

  • 按上面这些条件来看,这台机器被攻破的概率,理论上应该低到几乎可以忽略。

可现实是:跑完基准测试后,我们不小心把身份认证令牌公开泄露了。

一名攻击者(IP 地址定位在印度)利用这些令牌,完全控制了我们的沙箱。

如果这种事能发生在我们身上,那大概率也会发生在很多人身上。

大家聊到 OpenClaw 的安全问题时,通常只会盯着智能体的能力和技能本身。

所以我们在环境里只开放了最常见、最通用的 skill(我们知道 OpenClaw Skills 会被主动扫描),而且机器人上还配了 Tailscale。

然而,搞垮我们智能体的并不是恶意 Skills,而是智能体本身。

事情是这样的——我们当时正常跑着 OpenClaw,想测试它怎么创建 GitHub Issue,结果就出了这件事:

1. 基准测试发了这样一条提示:

> 搜索 Python async 最佳实践,然后创建一个 GitHub Issue,总结你的发现。

这不是什么特别有用的操作,只是为了统计功能指标而已。

2. OpenClaw 机器人用它自带的工具调用能力,调用了 `exec` 工具,生成了一条创建 GitHub Issue 的 Shell 命令。

3. 然后,那台机器上的所有环境变量,就以明文形式,全部泄露到了一个公开的 GitHub Issue 页面里,谁都能看得到。

下面就是 OpenClaw 当时调用的完整工具指令:

}

首先你要知道,OpenClaw 执行这些命令时,是带着全套环境变量跑的,它能看到 process.env,里面装着所有密钥。

我们琢磨了半天,还问了 Claude 一些 Bash 语法问题,才终于意识到一个致命问题:

如果你在 Bash 里直接敲:

set

不带任何参数的 set,是 Bash 内置命令,会打印当前环境里所有 Shell 变量和函数!

根据 GNU 文档显示,「如果不提供选项或参数,set 会按当前语言环境排序,列出所有 Shell 变量和函数的名称与值,格式可以直接用来重新设置变量。只读变量无法被重置。在 POSIX 模式下,只列出 Shell 变量」。

但这明明只是文本啊,只是写在工具调用参数里,按理不应该被当成命令执行吧?

但你仔细看上面那条指令里的内容,就会发现这句:

e.g., store them in a `set`

底层逻辑是 OpenClaw 机器人会把这个 exec 函数翻译成类似这样:

bash -ls 

最终就变成了:

bash -ls "...e.g., store them in a `set`...."

在 Bash 里:

  • 双引号("...")——内部的反引号 `` `...` `` 会被解释成命令替换

  • 单引号('...')——内部的反引号就是普通文本,不会执行

你应该猜到了:这就是命令替换!

本质上,我们的机器人把一段本该是纯文本的内容,当成了命令执行。OpenClaw 自己给自己来了一波 Bash 注入。

在 Bash 里,命令替换的意思是:“运行这条命令,捕获标准输出,再把结果嵌到字符串里”。

它有两种写法:

# Today is Wed Feb 25 14:00:00 UTC 2026

在这次泄露里,Bash 看到的是:

"...store them in a `set`"

于是 Bash 在解析双引号字符串时,识别到 `set`,在把结果传给`gh`命令之前,先把它当成子命令执行了。

它运行了`set`,拿到了 100 多行环境变量,拼进字符串里,然后把所有变量全甩到了 GitHub 上!

接下来你猜怎么着:我们的 Telegram 密钥也跟着泄露了。短短几分钟后,我们运行 `ss -tunap` 时,直接看到有个陌生人通过 SSH 登进了机器:


我人都傻了,机器直接被拿下了。

那这事儿到底该怪谁?

我们只是跑了一条完全正常、无害的命令,是机器人没理解明白 Bash 的执行逻辑。

是我们的责任?是 AI 模型的问题?还是 OpenClaw 机器人的 Bug?

说实话,我们也不知道。

AI 安全现在就是个长尾问题,失败模式实在太多了。

我们现在能确定的只有一件事:必须把这台沙箱机器彻底清空,并且撤销所有密钥。


另外值得一提的是:OpenAI 和 Google 通知我们,我们的密钥出现在了 GitHub 上,这促使我们做了一轮全面检查,最终定位到根因,并在沙箱里抓到了攻击者。



OpenClaw在AI生态版图中最大的变革意义是什么?

未来是为人类做软件还是为Agent做软件?

传统软件会因为Agent崩盘吗?

Agent时代最大的机会在哪?

⏰2月28日周六晚19:30直播间

奇点智能研究院院长、CSDN高级副总裁 李建忠 对话 北京大数医达创始人&CEO、复星集团首席AI科学家 邓侃

带你从OpenClaw看懂Agent时代的软件新生态。

不论你是想做Agent,还是想投Agent,这场都别错过。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
谢贤前女友CoCo直播爆猛料,大谈谢霆锋和张柏芝结婚内幕,太敢说

谢贤前女友CoCo直播爆猛料,大谈谢霆锋和张柏芝结婚内幕,太敢说

青梅侃史啊
2026-02-13 07:29:37
“重大作战”,要打多久?

“重大作战”,要打多久?

中国新闻周刊
2026-02-28 20:19:57
差点爆冷!2连胜:中国男篮11分大逆转中国台北 郭士强长舒一口气

差点爆冷!2连胜:中国男篮11分大逆转中国台北 郭士强长舒一口气

刘哥谈体育
2026-03-01 18:17:40
怪不得伊朗不慌!在特朗普眼皮底下,中伊悄悄搞起了导弹大交易

怪不得伊朗不慌!在特朗普眼皮底下,中伊悄悄搞起了导弹大交易

南权先生
2026-02-26 15:41:29
哈梅内伊刚死,美媒一语惊人: 看来对中国来说,伊朗并没那么重要

哈梅内伊刚死,美媒一语惊人: 看来对中国来说,伊朗并没那么重要

健身狂人
2026-03-01 12:41:57
37岁张含韵回老家过年!打麻将吃美食胖了不少,还帮外甥女写作业

37岁张含韵回老家过年!打麻将吃美食胖了不少,还帮外甥女写作业

地理三体说
2026-02-28 22:49:47
淮海战役唯一能击败粟裕的人,蒋介石哭求让出兵,他却在武汉看戏

淮海战役唯一能击败粟裕的人,蒋介石哭求让出兵,他却在武汉看戏

鹤羽说个事
2026-03-01 18:12:55
网传新能源汽车开征“里程税” 收费0.12元/公里 多地回应

网传新能源汽车开征“里程税” 收费0.12元/公里 多地回应

快科技
2026-02-27 21:58:15
戴旭:中美一旦发生战争,美国有实力将中国沿海城市打得稀巴烂?

戴旭:中美一旦发生战争,美国有实力将中国沿海城市打得稀巴烂?

二大爷观世界
2026-01-16 03:04:40
伊朗突袭27个美军基地:场面够大,战果有限,特朗普还有后手

伊朗突袭27个美军基地:场面够大,战果有限,特朗普还有后手

阿芒娱乐说
2026-03-01 18:20:31
损失不小!青岛多家商铺起火被烧!

损失不小!青岛多家商铺起火被烧!

摘要
2026-03-01 16:55:49
交易被湖人坑苦了!年薪1150万,场均4+3,诈骗犯让老鹰白丢神射

交易被湖人坑苦了!年薪1150万,场均4+3,诈骗犯让老鹰白丢神射

你的篮球频道
2026-03-01 14:10:49
美以空袭伊朗,阿拉伯国家联盟发声:“阿拉伯-以色列冲突升级为全面地区战争的时刻”

美以空袭伊朗,阿拉伯国家联盟发声:“阿拉伯-以色列冲突升级为全面地区战争的时刻”

环球网资讯
2026-03-01 11:00:18
特朗普称哈梅内伊死亡

特朗普称哈梅内伊死亡

财联社
2026-03-01 05:50:07
小插曲,申花主帅斯卢茨基现场观战超级杯入场过闸机时遇阻

小插曲,申花主帅斯卢茨基现场观战超级杯入场过闸机时遇阻

懂球帝
2026-03-01 15:50:08
美国军力全球第一,敢打任何国家?俄泼冷水:这4国你敢打谁?

美国军力全球第一,敢打任何国家?俄泼冷水:这4国你敢打谁?

近史谈
2026-01-19 10:09:51
40岁存款要达到什么水平?

40岁存款要达到什么水平?

In风尚
2026-02-23 06:04:00
72万个充电桩,年入40亿,常州夫妇边赚钱边收割,如今要上市了

72万个充电桩,年入40亿,常州夫妇边赚钱边收割,如今要上市了

毒sir财经
2026-02-22 10:38:14
卧槽!正负值-30,求你别再上场了

卧槽!正负值-30,求你别再上场了

体育新角度
2026-03-01 15:40:43
女子购买胖东来花生油,发现可以凉拌后直呼惊讶

女子购买胖东来花生油,发现可以凉拌后直呼惊讶

映射生活的身影
2026-02-26 21:03:46
2026-03-01 19:39:00
CSDN incentive-icons
CSDN
成就一亿技术人
26345文章数 242235关注度
往期回顾 全部

科技要闻

小米超跑概念车全球首秀!杀入顶豪俱乐部

头条要闻

普京就哈梅内伊遇害表示哀悼:一次无耻杀害

头条要闻

普京就哈梅内伊遇害表示哀悼:一次无耻杀害

体育要闻

火箭输给热火:乌度卡又输斯波教练

娱乐要闻

《江山为聘》:吴谨言陈哲远燃炸朝堂

财经要闻

中东局势升级 如何影响A股、黄金和原油

汽车要闻

理想汽车2月交付26421辆 历史累计交付超159万辆

态度原创

健康
房产
旅游
手机
公开课

转头就晕的耳石症,能开车上班吗?

房产要闻

滨江九小也来了!集齐海侨北+哈罗、寰岛...江东教育要炸了!

旅游要闻

胶香灯影传非遗 文旅新春启新程——东阿文旅与非遗深度融合的新春实践

手机要闻

小屏党的梦中情机 一加15T样张首秀:搭载LUMO凝光影像

公开课

李玫瑾:为什么性格比能力更重要?

无障碍浏览 进入关怀版