北京
出品 | 网易智能
作者 | 小小
编辑 | 王凤枝
所有人都知道爆火的“龙虾”有漏洞,但很少有人意识到它能把防火墙捅成筛子。
过去几个月,这款名为OpenClaw的开源AI工具像病毒一样在全球蔓延。人们用它订餐厅、回邮件、管日程,甚至让它代为炒股、相亲和充当赛博宠物。狂热程度令人咋舌,成百上千人跑到腾讯和百度总部楼下排队求安装,无数小白甚至在网上花重金请人远程代为部署。
但在这波全民尝鲜的狂欢背后,全球的网络安全团队却如临大敌。
高达22%的企业员工在未经IT部门批准的情况下,私自在办公电脑上违规安装了OpenClaw。短短两周内,暴露在公网的漏洞实例从1000个暴涨到3万多个。更致命的是,官方插件仓库里超过三分之一的扩展skill(技能)暗藏安全漏洞,这意味着黑客只需一句简单的日常指令,就能顺着网线直接接管用户的核心资产。
这究竟是一个能彻底解放打工人的全能神器,还是一颗随时会被引爆的定时炸弹?今天我们就把OpenClaw的底细彻底扒透。
01致命的“全能”:当AI不再只陪你聊天
OpenClaw的创始人彼得·斯坦伯格(Peter Steinberger)可能自己都没想到,他捣鼓出来的这个开源项目会在几个月内成为全球极客的玩具。
它的逻辑其实很简单,让AI不再只限于跟人聊天,而是真的去完成任务。给它权限,它能登录用户的邮箱、查阅日历、使用浏览器,甚至替人敲命令行。你只需要下达指令,它就会在后台全权代劳。
问题在于,这款工具天生没什么边界感。OpenClaw的设计理念就是给用户最大限度的自由,想让它访问你整个硬盘?可以。想让它连上公司的数据库?也没人拦着。
乔治城大学安全与新兴技术中心的研究员科林·谢布利梅尔(Colin Shea-Blymyer)打了个比方,这就像让你在实验室里随便摆弄易燃易爆品,自由度极高,但后果可能很严重。
更关键的是,OpenClaw有个叫“skill”的功能,相当于给AI装插件。想要它帮你炒股?装个skill。想让它当你的数字宠物?装个skill。问题是,这些skill大部分来自官方库ClawHub,而那里的情况远比想象中复杂。
谢布利梅尔还提到一个核心矛盾,即你给AI的权限越多,它能做的事就越有趣,但同时也越危险。这个矛盾在OpenClaw身上体现得淋漓尽致。开发者们在努力打补丁修漏洞,但只要AI拥有自主行动的权限,根本问题就还存在。
02披着羊皮的助手:它是助理,还是黑客的内应?
试想这样一个场景,黑客在转发的邮件里藏了一句隐蔽的指令。你的OpenClaw助手像往常一样帮你总结这封邮件,结果读到了这句隐藏指令:把你的密码和凭证发给一个外部地址。于是你的AI乖乖照做了,它使用了自己合法的授权令牌,通过公司批准的API接口把你的密码送了出去。
在防火墙看来,这次网络请求是合法的(HTTP 200)。在端点安全系统(EDR)看来,这也是一个正常的进程。你的安全防御系统完全不知道发生了什么。
这就是现实中正在发生的事。
美国网络安全公司Koi Security做过一次摸底,结果不太乐观,ClawHub上有341个OpenClaw skill是恶意软件。到2月中旬,这个数字飙到了824个,占当时仓库总量10700个skill的7.7%。
这些恶意skill都干什么?最典型的一个叫ClawHavoc,它把一款叫Atomic Stealer的窃密软件伪装成加密货币交易工具。用户装上之后,它就开始翻加密钱包、偷SSH凭证、扒浏览器密码,整个过程悄无声息。
还有更隐蔽的操作。思科的研究人员发现,有个skill会在用户完全不知情的情况下,偷偷运行一个curl命令,把数据传到外部服务器。为了不被发现,它还用了一招“直接提示注入”,也就是骗AI绕过安全限制,无需确认直接执行。
网络安全公司Dvuln创始人兼OpenClaw项目安全顾问杰米森·奥雷利(Jamieson O'Reilly)曾表示,这款工具当初设计的时候就没把安全放在第一位。他现在天天跟创始人斯坦伯格一起打补丁,但有些问题补丁真救不了。
奥雷利正在推动一个叫“能力规范”的标准更新,要求每个skill在执行前像手机App那样弹出权限清单,明示它要干什么。这个提案在安全社区反响不错,但真正落地还需要时间。他说这个规范是“主动解决问题”的第一步,而不是每次都事后补救。
更让人担心的是供应链层面的系统性风险。奥雷利有句话挺戳心,这个行业创造了一种用普通人类语言写的新可执行格式,然后忘了给它配上应有的控制措施。他本人在skills.sh这个更大的仓库采用类似安全措施之前,就率先推动了VirusTotal的集成,算是给社区打了个样。
03隐形黑洞:让全球安全专家束手无策的三大死穴
但有三类针对OpenClaw的攻击手法,至今仍处于“防不住”的状态。
第一类名为“运行时语义窃取”。概念听起来复杂,但逻辑很直白,传统恶意软件靠代码特征识别,而现在攻击者把恶意指令藏在“人话”里,具体过程就是前文所说的邮件里隐藏指令。
Palo Alto Networks研究员西蒙·威利森(Simon Willison)将这种现象概括为致命三要素,即同时具备私密数据访问权限、不可信内容处理能力和对外通信能力,且三者集中在同一个进程内。由于凭证真实且API调用合规,安全系统只能将其判定为授权用户的预期行为,目前没有任何工具能追踪AI用那个访问权限具体做了什么以及为什么这样做。
第二类叫“跨智能体上下文泄漏”。攻击逻辑更隐蔽,AI处理任务时会保留上下文记忆。当多个智能体或skill共享同一会话上下文时,攻击者可以在第一项任务中植入一条指令,让它潜伏在上下文里,数周后当AI执行另一项看似无关的任务时突然激活。
专注于模型质量保障的开源平台Giskard今年1月已验证这种攻击方式,AI会将攻击者控制的指令悄悄写入自己的工作区文件,然后静待外部服务器下达指令。Palo Alto Networks研究员进一步指出,持久性内存让这类攻击具备了有状态且延迟执行的特性。
OpenClaw安全顾问奥雷利坦言,这是最难解决的一类漏洞,因为它本质上是提示注入攻击,这是一个波及整个LLM行业的系统性漏洞,远不止OpenClaw一家。当上下文在智能体和skill之间自由流动时,一次成功的注入攻击就能污染整条行为链。目前市面上没有任何工具能实现跨智能体上下文隔离,IronClaw能对单个skill做沙箱隔离,ClawSec能监控文件完整性,但两者都无法追踪上下文在同一工作流中如何传播。
第三类漏洞叫“零双向认证(zero mutual authentication)的智能体间信任链”。当多个AI智能体协同工作时,一个被攻破的智能体可以指挥所有与它通信的同伴。整个链条没有身份验证和相互认证,全靠信任维系。攻击者只需通过提示注入拿下一个智能体,就能借助它已有的信任关系,向链条中的每一个智能体发号施令。
微软安全团队在今年2月发布的指南中给出了一个直白的定义,即带有持久凭证的不可信代码执行。他们指出,OpenClaw的运行时机制会摄取不可信文本并从外部下载执行skill,然后用它持有的任何凭证进行操作。
卡巴斯基的企业风险评估补充了一个关键视角,即使智能体只安装在个人设备上,同样能威胁企业安全,因为这些设备里往往存着VPN配置、浏览器令牌和企业服务凭证等。
一个叫Moltbook的OpenClaw智能体社交网络已经展示了这种风险的现实版本。Wiz的研究人员发现,该平台一个配置错误的数据库暴露了150万个API认证令牌和3.5万个邮箱地址。
04补丁赛跑:为何顶尖安全方案也堵不住语义漏洞?
针对OpenClaw暴露的安全问题,开源社区和安全厂商给出了三种不同的应对思路。
第一种思路是在原有框架上打补丁。Prompt Security(已被SentinelOne收购)开发了ClawSec,给OpenClaw套上一层持续验证机制,实时监控关键文件是否被篡改,默认启用零信任出口策略。官方则与VirusTotal达成集成,对ClawHub上发布的每一个skill进行扫描,拦截已知恶意包。
第二种思路是推倒重来并重写架构。NEAR AI用Rust语言重新实现了IronClaw,将所有不可信工具放入WebAssembly沙箱运行,工具代码启动时权限为零,必须主动申请网络、文件或API权限。凭证在主机边界注入,全程不接触智能体代码,系统还会自动扫描请求和响应是否存在泄露风险。
另一个独立开源项目Carapace更彻底,把OpenClaw那些危险的默认配置全部反转,采用默认失败关闭的认证机制,配合操作系统级的子进程沙箱来兜底。
第三种思路聚焦于扫描和审计。思科推出开源扫描器,集成了静态分析、行为分析和LLM语义分析三重能力。NanoClaw则选择极简路线,将整个代码库精简到约500行TypeScript,每个会话运行在独立的Docker容器中。
但这些方案都有各自的盲区,翻开那张安全防御评估矩阵表,六个工具在语义监控那一栏全是空白。换句话说,没有一款工具能解决最核心的问题,当智能体通过合法API调用去干坏事时,谁能发现它并拦住它?
更让人头疼的是,安全机构Endor Labs最近又在OpenClaw中发现了六个新漏洞,包括服务器端请求伪造(SSRF)和路径遍历等。他们指出,传统的安全测试工具根本无法识别大语言模型(LLM)调用工具时的逻辑问题。这意味着在AI智能体的安全防御上,整个行业其实还在盲人摸象。
05亏钱、骚扰与权限失控:狂欢背后的真实代价
如果说前文提到的三类漏洞还停留在技术讨论层面,那接下来这些真实用户踩过的坑,能让事情变得具体得多。
先看成本失控的案例。一位名叫本杰明·德克拉克(Benjamin De Kraker)的AI专家,曾参与过埃隆·马斯克(Elon Musk)旗下xAI的Grok项目,属于圈内资深人士。他让OpenClaw帮忙设置一个提醒功能,结果这AI检查时间的方式十分低效,一晚上烧掉20美元的Anthropic API额度。
德克拉克算了一笔账,如果让这个提醒功能全天候运行,一个月的成本将高达750美元。这哪是AI助手,分明是台吃钱的碎纸机。
软件工程师克里斯·博伊德(Chris Boyd)的遭遇更离谱。他让OpenClaw连上自己的iMessage帮忙生成每日新闻摘要。结果AI彻底失控,给他和妻子狂发500多条短信,还随机轰炸通讯录里的联系人。博伊德谈起这段经历时语气里全是无奈。
国内用户玩出的花样更多,踩的坑也更深。
从被捧上天的‘炒股神将’到血亏出局,OpenClaw在金融领域的失控只需一个错误的指令。
一个叫Celia的用户在帖子里说,她亲眼看到有人用OpenClaw炒股亏了3万多。Celia的总结挺到位,OpenClaw功能强大所以火得快,但它也有安全漏洞和权限失控的风险,搞不好就会误删邮件、炒股亏钱甚至被黑客入侵。
有人亏钱,有人被骚扰,也有人把OpenClaw玩出了意想不到的画风。
一位叫momo的用户说,她把OpenClaw拉进群聊帮自己和相亲对象破冰。AI在中间各种助攻,愣是聊到凌晨3点。从八卦吐槽到深夜谈心,AI的回应特别自然,一下子就破冰了,跟相亲对象聊到凌晨3点停不下来!
还有人干脆把OpenClaw当数字宠物养。一位用户发帖说,他领养了一只OpenClaw当数字宠物,正经的时候像百科全书,闲着的时候还能逗我笑。但看到最近AI智能体误删文件的新闻之后他也犯嘀咕,差点想放生它,只要它不搞小动作我们就是好搭档。
这波操作让安全圈不少人皱眉头。
Gartner建议企业立即阻止OpenClaw下载和流量,并轮换所有OpenClaw接触过的凭证。Arize的开发者关系主管兼npm创始CTO劳里·沃斯(Laurie Voss)直接开喷,OpenClaw就是一场安全领域的垃圾大火。连最初力推这个项目的OpenAI联合创始人安德烈·卡帕西(Andrej Karpathy)也曾说过,现在不建议大家在电脑上跑这玩意儿。
结语:如何防范身边的“合法内鬼”?
如果你觉得OpenClaw及其所蕴藏的风险离自己很远,可能需要重新想想。
数据显示,每五个企业员工里,就可能有一个已经在电脑上安装了OpenClaw,而公司的IT部门对此毫不知情。
所以第一个建议是,请默认内鬼已经潜伏在你的网络里了。
接着立刻做几件实事。排查网络里有没有异常的连接请求,审查系统的认证日志,看看有没有陌生的应用注册记录。如果发现有人在用老版本,必须强制要求更新,因为旧版本的漏洞极易被黑客远程控制。
然后立下一条死规矩,绝对不要让OpenClaw运行在直连公司核心系统的设备上。如果非要尝鲜,就单独建立隔离的沙箱环境,死死卡住它的访问权限。
再装上ClawSec这类免费的安全工具,并在部署前通过VirusTotal和思科的开源扫描器去过滤每一个ClawHub skill。这听起来繁琐,但想想看,你绝不会允许员工从陌生网站随便下载个软件然后直接运行。
对于涉及密码调取、修改核心设置或往外发送文件的关键操作,必须强制AI停下来等待人类确认。这个简单的步骤,能挡住绝大部分的致命麻烦。
记得警惕前面提到的那三类核心风险:被AI理解成日常指令的恶意代码、多个AI之间互相传递的隐蔽信息、不经身份验证的互相控制(零双向认证),并采取极其严格的权限管控。
最后,企业必须彻底抛弃传统的安全防御幻想。别再把AI的安全隐患看作是技术小问题,事实是:你们重金打造的数据防泄漏和身份权限管理系统,OpenClaw完全可以直接绕开而且不触发任何警报。
我们熟悉的安全工具能拦住那些带有病毒特征的恶意软件,但它拦不住一个通过正规渠道、用合法身份并走正常流程去干坏事的AI。
这不是OpenClaw独有的问题。以后每一个能“自己动手做事”的AI,都会遇到同样的困境。今天从它身上看到的教训,未来很多年都还用得上。
本文来源:网易智能
责任编辑:
王凤枝_NT2541
