爆火的“龍蝦”為何讓安全圈集體破防？瘋狂打補(bǔ)丁后，三大漏洞依然能合法繞過所有警報

出品 | 網(wǎng)易智能

作者 | 小小

編輯 | 王鳳枝

所有人都知道爆火的“龍蝦”有漏洞，但很少有人意識到它能把防火墻捅成篩子。

過去幾個月，這款名為OpenClaw的開源AI工具像病毒一樣在全球蔓延。人們用它訂餐廳、回郵件、管日程，甚至讓它代為炒股、相親和充當(dāng)賽博寵物。狂熱程度令人咋舌，成百上千人跑到騰訊和百度總部樓下排隊求安裝，無數(shù)小白甚至在網(wǎng)上花重金請人遠(yuǎn)程代為部署。

但在這波全民嘗鮮的狂歡背后，全球的網(wǎng)絡(luò)安全團(tuán)隊卻如臨大敵。

高達(dá)22%的企業(yè)員工在未經(jīng)IT部門批準(zhǔn)的情況下，私自在辦公電腦上違規(guī)安裝了OpenClaw。短短兩周內(nèi)，暴露在公網(wǎng)的漏洞實例從1000個暴漲到3萬多個。更致命的是，官方插件倉庫里超過三分之一的擴(kuò)展技能暗藏安全漏洞，這意味著黑客只需一句簡單的日常指令，就能順著網(wǎng)線直接接管用戶的核心資產(chǎn)。

這究竟是一個能徹底解放打工人的全能神器，還是一顆隨時會被引爆的定時炸彈？今天我們就把OpenClaw的底細(xì)徹底扒透。

致命的“全能”：

當(dāng)AI不再只陪你聊天

OpenClaw的創(chuàng)始人彼得·斯坦伯格（Peter Steinberger）可能自己都沒想到，他搗鼓出來的這個開源項目會在幾個月內(nèi)成為全球極客的玩具。

它的邏輯其實很簡單，讓AI不再只限于跟人聊天，而是真的去完成任務(wù)。給它權(quán)限，它能登錄用戶的郵箱、查閱日歷、使用瀏覽器，甚至替人敲命令行。你只需要下達(dá)指令，它就會在后臺全權(quán)代勞。

問題在于，這款工具天生沒什么邊界感。OpenClaw的設(shè)計理念就是給用戶最大限度的自由，想讓它訪問你整個硬盤？可以。想讓它連上公司的數(shù)據(jù)庫？也沒人攔著。

喬治城大學(xué)安全與新興技術(shù)中心的研究員科林·謝布利梅爾（Colin Shea-Blymyer）打了個比方，這就像讓你在實驗室里隨便擺弄易燃易爆品，自由度極高，但后果可能很嚴(yán)重。

更關(guān)鍵的是，OpenClaw有個叫“skill”的功能，相當(dāng)于給AI裝插件。想要它幫你炒股？裝個技能。想讓它當(dāng)你的數(shù)字寵物？裝個技能。問題是，這些技能大部分來自官方庫ClawHub，而那里的情況遠(yuǎn)比想象中復(fù)雜。

謝布利梅爾還提到一個核心矛盾，即你給AI的權(quán)限越多，它能做的事就越有趣，但同時也越危險。這個矛盾在OpenClaw身上體現(xiàn)得淋漓盡致。開發(fā)者們在努力打補(bǔ)丁修漏洞，但只要AI擁有自主行動的權(quán)限，根本問題就還存在。

披著羊皮的助手：

它是助理，還是黑客的內(nèi)應(yīng)？

試想這樣一個場景，黑客在轉(zhuǎn)發(fā)的郵件里藏了一句隱蔽的指令。你的OpenClaw助手像往常一樣幫你總結(jié)這封郵件，結(jié)果讀到了這句隱藏指令：把你的密碼和憑證發(fā)給一個外部地址。于是你的AI乖乖照做了，它使用了自己合法的授權(quán)令牌，通過公司批準(zhǔn)的API接口把你的密碼送了出去。

在防火墻看來，這次網(wǎng)絡(luò)請求是合法的（HTTP 200）。在端點安全系統(tǒng)（EDR）看來，這也是一個正常的進(jìn)程。你的安全防御系統(tǒng)完全不知道發(fā)生了什么。

這就是現(xiàn)實中正在發(fā)生的事。

美國網(wǎng)絡(luò)安全公司Koi Security做過一次摸底，結(jié)果不太樂觀，ClawHub上有341個OpenClaw技能是惡意軟件。到2月中旬，這個數(shù)字飆到了824個，占當(dāng)時倉庫總量10700個技能的7.7%。

這些惡意技能都干什么？最典型的一個叫ClawHavoc，它把一款叫Atomic Stealer的竊密軟件偽裝成加密貨幣交易工具。用戶裝上之后，它就開始翻加密錢包、偷SSH憑證、扒瀏覽器密碼，整個過程悄無聲息。

還有更隱蔽的操作。思科的研究人員發(fā)現(xiàn)，有個技能會在用戶完全不知情的情況下，偷偷運行一個curl命令，把數(shù)據(jù)傳到外部服務(wù)器。為了不被發(fā)現(xiàn)，它還用了一招“直接提示注入”，也就是騙AI繞過安全限制，無需確認(rèn)直接執(zhí)行。

網(wǎng)絡(luò)安全公司Dvuln創(chuàng)始人兼OpenClaw項目安全顧問杰米森·奧雷利（Jamieson O'Reilly）曾表示，這款工具當(dāng)初設(shè)計的時候就沒把安全放在第一位。他現(xiàn)在天天跟創(chuàng)始人斯坦伯格一起打補(bǔ)丁，但有些問題補(bǔ)丁真救不了。

奧雷利正在推動一個叫“能力規(guī)范”的標(biāo)準(zhǔn)更新，要求每個技能在執(zhí)行前像手機(jī)App那樣彈出權(quán)限清單，明示它要干什么。這個提案在安全社區(qū)反響不錯，但真正落地還需要時間。他說這個規(guī)范是“主動解決問題”的第一步，而不是每次都事后補(bǔ)救。

更讓人擔(dān)心的是供應(yīng)鏈層面的系統(tǒng)性風(fēng)險。奧雷利有句話挺戳心，這個行業(yè)創(chuàng)造了一種用普通人類語言寫的新可執(zhí)行格式，然后忘了給它配上應(yīng)有的控制措施。他本人在skills.sh這個更大的倉庫采用類似安全措施之前，就率先推動了VirusTotal的集成，算是給社區(qū)打了個樣。

隱形黑洞：

讓全球安全專家

束手無策的三大死穴

但有三類針對OpenClaw的攻擊手法，至今仍處于“防不住”的狀態(tài)。

第一類名為“運行時語義竊取”。概念聽起來復(fù)雜，但邏輯很直白，傳統(tǒng)惡意軟件靠代碼特征識別，而現(xiàn)在攻擊者把惡意指令藏在“人話”里，具體過程就是前文所說的郵件里隱藏指令。

Palo Alto Networks研究員西蒙·威利森（Simon Willison）將這種現(xiàn)象概括為致命三要素，即同時具備私密數(shù)據(jù)訪問權(quán)限、不可信內(nèi)容處理能力和對外通信能力，且三者集中在同一個進(jìn)程內(nèi)。由于憑證真實且API調(diào)用合規(guī)，安全系統(tǒng)只能將其判定為授權(quán)用戶的預(yù)期行為，目前沒有任何工具能追蹤AI用那個訪問權(quán)限具體做了什么以及為什么這樣做。

第二類叫“跨智能體上下文泄漏”。攻擊邏輯更隱蔽，AI處理任務(wù)時會保留上下文記憶。當(dāng)多個智能體或技能共享同一會話上下文時，攻擊者可以在第一項任務(wù)中植入一條指令，讓它潛伏在上下文里，數(shù)周后當(dāng)AI執(zhí)行另一項看似無關(guān)的任務(wù)時突然激活。

專注于模型質(zhì)量保障的開源平臺Giskard今年1月已驗證這種攻擊方式，AI會將攻擊者控制的指令悄悄寫入自己的工作區(qū)文件，然后靜待外部服務(wù)器下達(dá)指令。Palo Alto Networks研究員進(jìn)一步指出，持久性內(nèi)存讓這類攻擊具備了有狀態(tài)且延遲執(zhí)行的特性。

OpenClaw安全顧問奧雷利坦言，這是最難解決的一類漏洞，因為它本質(zhì)上是提示注入攻擊，這是一個波及整個LLM行業(yè)的系統(tǒng)性漏洞，遠(yuǎn)不止OpenClaw一家。當(dāng)上下文在智能體和技能之間自由流動時，一次成功的注入攻擊就能污染整條行為鏈。目前市面上沒有任何工具能實現(xiàn)跨智能體上下文隔離，IronClaw能對單個技能做沙箱隔離，ClawSec能監(jiān)控文件完整性，但兩者都無法追蹤上下文在同一工作流中如何傳播。

第三類漏洞叫“零雙向認(rèn)證（zero mutual authentication）的智能體間信任鏈”。當(dāng)多個AI智能體協(xié)同工作時，一個被攻破的智能體可以指揮所有與它通信的同伴。整個鏈條沒有身份驗證和相互認(rèn)證，全靠信任維系。攻擊者只需通過提示注入拿下一個智能體，就能借助它已有的信任關(guān)系，向鏈條中的每一個智能體發(fā)號施令。

微軟安全團(tuán)隊在今年2月發(fā)布的指南中給出了一個直白的定義，即帶有持久憑證的不可信代碼執(zhí)行。他們指出，OpenClaw的運行時機(jī)制會攝取不可信文本并從外部下載執(zhí)行技能，然后用它持有的任何憑證進(jìn)行操作。

卡巴斯基的企業(yè)風(fēng)險評估補(bǔ)充了一個關(guān)鍵視角，即使智能體只安裝在個人設(shè)備上，同樣能威脅企業(yè)安全，因為這些設(shè)備里往往存著VPN配置、瀏覽器令牌和企業(yè)服務(wù)憑證等。

一個叫Moltbook的OpenClaw智能體社交網(wǎng)絡(luò)已經(jīng)展示了這種風(fēng)險的現(xiàn)實版本。Wiz的研究人員發(fā)現(xiàn)，該平臺一個配置錯誤的數(shù)據(jù)庫暴露了150萬個API認(rèn)證令牌和3.5萬個郵箱地址。

補(bǔ)丁賽跑：

為何頂尖安全方案

也堵不住語義漏洞？

針對OpenClaw暴露的安全問題，開源社區(qū)和安全廠商給出了三種不同的應(yīng)對思路。

第一種思路是在原有框架上打補(bǔ)丁。Prompt Security（已被SentinelOne收購）開發(fā)了ClawSec，給OpenClaw套上一層持續(xù)驗證機(jī)制，實時監(jiān)控關(guān)鍵文件是否被篡改，默認(rèn)啟用零信任出口策略。官方則與VirusTotal達(dá)成集成，對ClawHub上發(fā)布的每一個技能進(jìn)行掃描，攔截已知惡意包。

第二種思路是推倒重來并重寫架構(gòu)。NEAR AI用Rust語言重新實現(xiàn)了IronClaw，將所有不可信工具放入WebAssembly沙箱運行，工具代碼啟動時權(quán)限為零，必須主動申請網(wǎng)絡(luò)、文件或API權(quán)限。憑證在主機(jī)邊界注入，全程不接觸智能體代碼，系統(tǒng)還會自動掃描請求和響應(yīng)是否存在泄露風(fēng)險。

另一個獨立開源項目Carapace更徹底，把OpenClaw那些危險的默認(rèn)配置全部反轉(zhuǎn)，采用默認(rèn)失敗關(guān)閉的認(rèn)證機(jī)制，配合操作系統(tǒng)級的子進(jìn)程沙箱來兜底。

第三種思路聚焦于掃描和審計。思科推出開源掃描器，集成了靜態(tài)分析、行為分析和LLM語義分析三重能力。NanoClaw則選擇極簡路線，將整個代碼庫精簡到約500行TypeScript，每個會話運行在獨立的Docker容器中。

但這些方案都有各自的盲區(qū)，翻開那張安全防御評估矩陣表，六個工具在語義監(jiān)控那一欄全是空白。換句話說，沒有一款工具能解決最核心的問題，當(dāng)智能體通過合法API調(diào)用去干壞事時，誰能發(fā)現(xiàn)它并攔住它？

更讓人頭疼的是，安全機(jī)構(gòu)Endor Labs最近又在OpenClaw中發(fā)現(xiàn)了六個新漏洞，包括服務(wù)器端請求偽造（SSRF）和路徑遍歷等。他們指出，傳統(tǒng)的安全測試工具根本無法識別大語言模型（LLM）調(diào)用工具時的邏輯問題。這意味著在AI智能體的安全防御上，整個行業(yè)其實還在盲人摸象。

虧錢、騷擾與權(quán)限失控：

狂歡背后的真實代價

如果說前文提到的三類漏洞還停留在技術(shù)討論層面，那接下來這些真實用戶踩過的坑，能讓事情變得具體得多。

先看成本失控的案例。一位名叫本杰明·德克拉克（Benjamin De Kraker）的AI專家，曾參與過埃隆·馬斯克（Elon Musk）旗下xAI的Grok項目，屬于圈內(nèi)資深人士。他讓OpenClaw幫忙設(shè)置一個提醒功能，結(jié)果這AI檢查時間的方式十分低效，一晚上燒掉20美元的Anthropic API額度。

德克拉克算了一筆賬，如果讓這個提醒功能全天候運行，一個月的成本將高達(dá)750美元。這哪是AI助手，分明是臺吃錢的碎紙機(jī)。

軟件工程師克里斯·博伊德（Chris Boyd）的遭遇更離譜。他讓OpenClaw連上自己的iMessage幫忙生成每日新聞?wù)＝Y(jié)果AI徹底失控，給他和妻子狂發(fā)500多條短信，還隨機(jī)轟炸通訊錄里的聯(lián)系人。博伊德談起這段經(jīng)歷時語氣里全是無奈。

國內(nèi)用戶玩出的花樣更多，踩的坑也更深。

從被捧上天的‘炒股神將’到血虧出局，OpenClaw在金融領(lǐng)域的失控只需一個錯誤的指令。

一個叫Celia的用戶在帖子里說，她親眼看到有人用OpenClaw炒股虧了3萬多。Celia的總結(jié)挺到位，OpenClaw功能強(qiáng)大所以火得快，但它也有安全漏洞和權(quán)限失控的風(fēng)險，搞不好就會誤刪郵件、炒股虧錢甚至被黑客入侵。

有人虧錢，有人被騷擾，也有人把OpenClaw玩出了意想不到的畫風(fēng)。

一位叫momo的用戶說，她把OpenClaw拉進(jìn)群聊幫自己和相親對象破冰。AI在中間各種助攻，愣是聊到凌晨3點。從八卦吐槽到深夜談心，AI的回應(yīng)特別自然，一下子就破冰了，跟相親對象聊到凌晨3點停不下來！

還有人干脆把OpenClaw當(dāng)數(shù)字寵物養(yǎng)。一位用戶發(fā)帖說，他領(lǐng)養(yǎng)了一只OpenClaw當(dāng)數(shù)字寵物，正經(jīng)的時候像百科全書，閑著的時候還能逗我笑。但看到最近AI智能體誤刪文件的新聞之后他也犯嘀咕，差點想放生它，只要它不搞小動作我們就是好搭檔。

這波操作讓安全圈不少人皺眉頭。

Gartner建議企業(yè)立即阻止OpenClaw下載和流量，并輪換所有OpenClaw接觸過的憑證。Arize的開發(fā)者關(guān)系主管兼npm創(chuàng)始CTO勞里·沃斯（Laurie Voss）直接開噴，OpenClaw就是一場安全領(lǐng)域的垃圾大火。連最初力推這個項目的OpenAI聯(lián)合創(chuàng)始人安德烈·卡帕西（Andrej Karpathy）也曾說過，現(xiàn)在不建議大家在電腦上跑這玩意兒。

結(jié)語：

如何防范身邊的“合法內(nèi)鬼”？

如果你覺得OpenClaw及其所蘊(yùn)藏的風(fēng)險離自己很遠(yuǎn)，可能需要重新想想。

數(shù)據(jù)顯示，每五個企業(yè)員工里，就可能有一個已經(jīng)在電腦上安裝了OpenClaw，而公司的IT部門對此毫不知情。

所以第一個建議是，請默認(rèn)內(nèi)鬼已經(jīng)潛伏在你的網(wǎng)絡(luò)里了。

接著立刻做幾件實事。排查網(wǎng)絡(luò)里有沒有異常的連接請求，審查系統(tǒng)的認(rèn)證日志，看看有沒有陌生的應(yīng)用注冊記錄。如果發(fā)現(xiàn)有人在用老版本，必須強(qiáng)制要求更新，因為舊版本的漏洞極易被黑客遠(yuǎn)程控制。

然后立下一條死規(guī)矩，絕對不要讓OpenClaw運行在直連公司核心系統(tǒng)的設(shè)備上。如果非要嘗鮮，就單獨建立隔離的沙箱環(huán)境，死死卡住它的訪問權(quán)限。

再裝上ClawSec這類免費的安全工具，并在部署前通過VirusTotal和思科的開源掃描器去過濾每一個ClawHub技能。這聽起來繁瑣，但想想看，你絕不會允許員工從陌生網(wǎng)站隨便下載個軟件然后直接運行。

對于涉及密碼調(diào)取、修改核心設(shè)置或往外發(fā)送文件的關(guān)鍵操作，必須強(qiáng)制AI停下來等待人類確認(rèn)。這個簡單的步驟，能擋住絕大部分的致命麻煩。

記得警惕前面提到的那三類核心風(fēng)險：被AI理解成日常指令的惡意代碼、多個AI之間互相傳遞的隱蔽信息、不經(jīng)身份驗證的互相控制（零雙向認(rèn)證），并采取極其嚴(yán)格的權(quán)限管控。

最后，企業(yè)必須徹底拋棄傳統(tǒng)的安全防御幻想。別再把AI的安全隱患看作是技術(shù)小問題，事實是：你們重金打造的數(shù)據(jù)防泄漏和身份權(quán)限管理系統(tǒng)，OpenClaw完全可以直接繞開而且不觸發(fā)任何警報。

我們熟悉的安全工具能攔住那些帶有病毒特征的惡意軟件，但它攔不住一個通過正規(guī)渠道、用合法身份并走正常流程去干壞事的AI。

這不是OpenClaw獨有的問題。以后每一個能“自己動手做事”的AI，都會遇到同樣的困境。今天從它身上看到的教訓(xùn)，未來很多年都還用得上。