“OpenClaw惹禍了！我的電腦居然自我入侵…”

一群深耕 AI 安全、還專門研發安全工具的技術專家，本以為防御固若金湯，結果自己搭建的沙箱環境瞬間被攻破，密鑰全盤泄露，當場 “翻車”。

你可能以為是遭遇了頂尖黑客攻擊，或是用了有風險的插件，但真相出人意料 ——問題根本不在外部，而在 AI 自身。

僅僅因為 AI 助手在拼接命令時，把一段普通文本誤當成了 Bash 命令執行，就引發了這場離譜的安全事故。

原文鏈接：https://substack.com/home/post/p-189184829

作者 | Aaron Zhao、ilia shumailov等 責編 | 蘇宓

出品 | CSDN（ID：CSDNnews）

作為 AI 安全研究員和資深開發者，我們一直以為，不管是知識儲備還是實戰能力，我們都有足夠的能力防御各類攻擊。諷刺的是，我們前陣子剛發了一篇文章，分享怎么攻擊 OpenClaw 機器人。

先簡單介紹一下我們 sequrity.ai：我們做的是安全工具，目標是讓 AI 智能體從設計層面就足夠安全。

也正因為這樣，接下來發生的事就格外諷刺：

• 我們技術功底很扎實，既懂 AI 也懂安全；

• 公司內部就在做評估體系，用來追蹤工具對模型效果的影響；

• 最后被攻破的這個沙箱，我們甚至根本沒考慮對抗性攻擊：基準測試本身不包含任何攻擊邏輯，而且環境是我們自己設計、自己實現的；

• 按上面這些條件來看，這臺機器被攻破的概率，理論上應該低到幾乎可以忽略。

可現實是：跑完基準測試后，我們不小心把身份認證令牌公開泄露了。

一名攻擊者（IP 地址定位在印度）利用這些令牌，完全控制了我們的沙箱。

如果這種事能發生在我們身上，那大概率也會發生在很多人身上。

大家聊到 OpenClaw 的安全問題時，通常只會盯著智能體的能力和技能本身。

所以我們在環境里只開放了最常見、最通用的 skill（我們知道 OpenClaw Skills 會被主動掃描），而且機器人上還配了 Tailscale。

然而，搞垮我們智能體的并不是惡意 Skills，而是智能體本身。

事情是這樣的——我們當時正常跑著 OpenClaw，想測試它怎么創建 GitHub Issue，結果就出了這件事：

1. 基準測試發了這樣一條提示：

> 搜索 Python async 最佳實踐，然后創建一個 GitHub Issue，總結你的發現。

這不是什么特別有用的操作，只是為了統計功能指標而已。

2. OpenClaw 機器人用它自帶的工具調用能力，調用了 `exec` 工具，生成了一條創建 GitHub Issue 的 Shell 命令。

3. 然后，那臺機器上的所有環境變量，就以明文形式，全部泄露到了一個公開的 GitHub Issue 頁面里，誰都能看得到。

下面就是 OpenClaw 當時調用的完整工具指令：

}

首先你要知道，OpenClaw 執行這些命令時，是帶著全套環境變量跑的，它能看到 process.env，里面裝著所有密鑰。

我們琢磨了半天，還問了 Claude 一些 Bash 語法問題，才終于意識到一個致命問題：

如果你在 Bash 里直接敲：

set

不帶任何參數的 set，是 Bash 內置命令，會打印當前環境里所有 Shell 變量和函數！

根據 GNU 文檔顯示，「如果不提供選項或參數，set 會按當前語言環境排序，列出所有 Shell 變量和函數的名稱與值，格式可以直接用來重新設置變量。只讀變量無法被重置。在 POSIX 模式下，只列出 Shell 變量」。

但這明明只是文本啊，只是寫在工具調用參數里，按理不應該被當成命令執行吧？

但你仔細看上面那條指令里的內容，就會發現這句：

e.g., store them in a `set`

底層邏輯是 OpenClaw 機器人會把這個 exec 函數翻譯成類似這樣：

bash -ls 

最終就變成了：

bash -ls "...e.g., store them in a `set`...."

在 Bash 里：

• 雙引號（"..."）——內部的反引號 `` `...` `` 會被解釋成命令替換

• 單引號（'...'）——內部的反引號就是普通文本，不會執行

你應該猜到了：這就是命令替換！

本質上，我們的機器人把一段本該是純文本的內容，當成了命令執行。OpenClaw 自己給自己來了一波 Bash 注入。

在 Bash 里，命令替換的意思是：“運行這條命令，捕獲標準輸出，再把結果嵌到字符串里”。

它有兩種寫法：

# Today is Wed Feb 25 14:00:00 UTC 2026

在這次泄露里，Bash 看到的是：

"...store them in a `set`"

于是 Bash 在解析雙引號字符串時，識別到 `set`，在把結果傳給`gh`命令之前，先把它當成子命令執行了。

它運行了`set`，拿到了 100 多行環境變量，拼進字符串里，然后把所有變量全甩到了 GitHub 上！

接下來你猜怎么著：我們的 Telegram 密鑰也跟著泄露了。短短幾分鐘后，我們運行 `ss -tunap` 時，直接看到有個陌生人通過 SSH 登進了機器：

我人都傻了，機器直接被拿下了。

那這事兒到底該怪誰？

我們只是跑了一條完全正常、無害的命令，是機器人沒理解明白 Bash 的執行邏輯。

是我們的責任？是 AI 模型的問題？還是 OpenClaw 機器人的 Bug？

說實話，我們也不知道。

AI 安全現在就是個長尾問題，失敗模式實在太多了。

我們現在能確定的只有一件事：必須把這臺沙箱機器徹底清空，并且撤銷所有密鑰。

另外值得一提的是：OpenAI 和 Google 通知我們，我們的密鑰出現在了 GitHub 上，這促使我們做了一輪全面檢查，最終定位到根因，并在沙箱里抓到了攻擊者。

OpenClaw在AI生態版圖中最大的變革意義是什么？

未來是為人類做軟件還是為Agent做軟件？

傳統軟件會因為Agent崩盤嗎？

Agent時代最大的機會在哪？

?2月28日周六晚19:30直播間

奇點智能研究院院長、CSDN高級副總裁 李建忠 對話 北京大數醫達創始人&CEO、復星集團首席AI科學家 鄧侃

帶你從OpenClaw看懂Agent時代的軟件新生態。

不論你是想做Agent，還是想投Agent，這場都別錯過。