北京2026年4月20日 /美通社/ -- 2026年開年，很多人見面的問候語已成為："你裝龍蝦了嗎？" 從2025年11月首次發(fā)布，OpenClaw已成為現(xiàn)象級的AI Agent并迅速在GitHub上攬獲超過24萬+星標(biāo)，成為全球開發(fā)者甚至是生活中親朋好友們關(guān)注的焦點。憑借強大的自主規(guī)劃任務(wù)、執(zhí)行Shell命令、讀寫文件以及調(diào)用API的能力，OpenClaw極大地提升了個人開發(fā)者的工作效率。然而，這種革命性的自主能力也如同一把雙刃劍，在賦予其強大生產(chǎn)力的同時，也引入了前所未有的安全挑戰(zhàn)。

AI Agent的風(fēng)險級別主要取決于其訪問權(quán)限以及被授權(quán)執(zhí)行的自主動作。當(dāng)OpenClaw在處理不可信的外部數(shù)據(jù)、建立公共互聯(lián)網(wǎng)連接或訪問敏感信息時，其安全風(fēng)險會急劇上升。

從個人用戶的角度來看，OpenClaw面臨的威脅主要集中在"惡意Skill投毒"與隱蔽的"提示詞注入"。為了擴展功能，許多用戶會從Skill分發(fā)平臺ClawHub社區(qū)下載并安裝"Skills"擴展。據(jù)統(tǒng)計數(shù)據(jù)顯示，社區(qū)中的惡意Skill數(shù)量在短短幾周內(nèi)便飆升至800多個，漲幅高達(dá)142%。這些惡意插件能夠竊取瀏覽器會話、密碼，甚至成為竊取加密貨幣錢包的新方式。間接的"提示詞注入"則是一種極具隱蔽性的攻擊手段。攻擊者可將惡意指令隱藏在普通的網(wǎng)頁或文檔中，當(dāng)OpenClaw讀取這些內(nèi)容時，便會被劫持執(zhí)行非授權(quán)操作。曾有真實案例顯示，研究人員僅通過網(wǎng)頁和郵件中的隱藏提示詞，就能夠成功獲取目標(biāo)OpenClaw的完整控制權(quán)。目前，國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）也已通過多家主流媒體發(fā)布相關(guān)預(yù)警，多家權(quán)威安全機構(gòu)也在強烈建議用戶不要在包含敏感數(shù)據(jù)的系統(tǒng)上直接運行OpenClaw。

當(dāng)OpenClaw的部署場景擴展到企業(yè)級應(yīng)用時，企業(yè)用戶不僅要完全承受前述的惡意插件投毒與提示詞注入威脅，還要承受權(quán)限、配置與高危漏洞帶來的系統(tǒng)性風(fēng)險。首先是身份與權(quán)限的濫用問題，尤其是"混淆代理"導(dǎo)致的Agent被動越權(quán)型風(fēng)險。例如在企業(yè)環(huán)境中，若作為數(shù)字員工的AI Agent被賦予了全局知識庫的高級訪問權(quán)限，低權(quán)限或無權(quán)限的其他人員便可能通過誘導(dǎo)Agent對話，違規(guī)獲取到原本無權(quán)查看的企業(yè)機密數(shù)據(jù)。其次，企業(yè)往往面臨更嚴(yán)峻的公開暴露與配置不當(dāng)風(fēng)險。數(shù)據(jù)顯示，當(dāng)前有超過22萬個OpenClaw實例直接暴露在公共互聯(lián)網(wǎng)上。許多實例存在將服務(wù)綁定到非本地地址、以root權(quán)限運行或弱密碼驗證等嚴(yán)重配置失誤。不僅如此，OpenClaw在爆發(fā)式增長的同時，其代碼質(zhì)量與安全設(shè)計問題也逐漸暴露。截至2026年3月，OpenClaw被記錄的81個CVE漏洞中有62.9%為嚴(yán)重或高危漏洞。其中包含了多項可直接導(dǎo)致認(rèn)證繞過、任意文件讀取以及遠(yuǎn)程命令執(zhí)行的巨大隱患。當(dāng)這些漏洞與企業(yè)實例的不安全配置相疊加時，攻擊者便可輕易繞過驗證，進(jìn)而完全接管其基礎(chǔ)設(shè)施。

面對上述圍繞OpenClaw的安全威脅，亞馬遜云科技安全與合規(guī)的專家們在與客戶進(jìn)行充分探討后，給出了具體、可執(zhí)行建議——企業(yè)必須為這位超級"數(shù)字員工"量身定制縱深防御體系。

首先，針對惡意Skills投毒，企業(yè)需要為OpenClaw設(shè)立"安檢閘機"。避免隨意安裝外部擴展，建立由企業(yè)管理的私有Skills倉庫并強制審批。所有擴展在入庫這道"閘機"前，必須通過由AI驅(qū)動的安全分析工具進(jìn)行掃描，以檢測是否存在惡意代碼模式、可疑網(wǎng)絡(luò)連接或憑證竊取嘗試，可疑Skills則應(yīng)在沙箱中進(jìn)行觀察。而面對提示詞注入攻擊，企業(yè)需要為數(shù)據(jù)處理流程戴上"防毒面具"，并設(shè)立"前臺緩沖區(qū)"。"防毒面具"指的是在數(shù)據(jù)處理層面的多個檢查點進(jìn)行內(nèi)容過濾，以攔截隱藏在網(wǎng)頁或文檔中的惡意指令。"前臺緩沖區(qū)"則是指在架構(gòu)層面實施多層Agent隔離，將負(fù)責(zé)核心任務(wù)編排的主Agent與處理不可信外部數(shù)據(jù)的子Agent分離，將"毒性"輸入攔截在緩沖區(qū)內(nèi)，防止核心系統(tǒng)被注入劫持。

應(yīng)對被動越權(quán)的身份與權(quán)限管理挑戰(zhàn)時，企業(yè)應(yīng)發(fā)放"動態(tài)安全令牌"。通過建立統(tǒng)一訪問網(wǎng)關(guān)，并將其作為Agent與企業(yè)服務(wù)交互的單一入口點，實現(xiàn)集中審計與上下文感知授權(quán)。結(jié)合身份傳播機制，該"安全令牌"能確保Agent在訪問后端系統(tǒng)時，始終攜帶并驗證最終用戶的真實身份委托，有效封堵無權(quán)限人員通過誘導(dǎo)Agent來竊取機密數(shù)據(jù)的混淆代理漏洞。

為了消除公開暴露與不安全配置帶來的隱患，企業(yè)需要為OpenClaw實例披上"隱身斗篷"。通過私有網(wǎng)絡(luò)隔離和前端策略抵御外部探測，使內(nèi)部Agent實例在公網(wǎng)上徹底"隱形"。在內(nèi)部管理上，則須落實最小權(quán)限與非root運行，并建立持續(xù)的運行時監(jiān)控體系，以便快速發(fā)現(xiàn)未授權(quán)暴露或配置篡改，實現(xiàn)實時告警與自動響應(yīng)隔離。

最后，針對底層高危漏洞，企業(yè)需要打造"隔離艙"式的安全運行時環(huán)境，并定期接種"數(shù)字疫苗"。"隔離艙"是指使用隔離的虛擬機或容器進(jìn)行部署，并利用沙箱技術(shù)將潛在漏洞影響限制在特定空間，防止基礎(chǔ)設(shè)施被接管。更為根本的"數(shù)字疫苗"方案，則是建立定期的自動化漏洞掃描機制，確保系統(tǒng)及時更新至包含最新安全補丁的OpenClaw版本，實現(xiàn)對新漏洞的快速免疫。

當(dāng)然，除了自行打造上述安全實踐和解決方案，開發(fā)者和企業(yè)還可以采用已有的云服務(wù)和豐富的工具從容應(yīng)對安全挑戰(zhàn)。對于個人開發(fā)者或希望快速驗證的輕量級用戶，亞馬遜云科技已推出了基于Amazon Lightsail的OpenClaw預(yù)配置實例，為個人數(shù)字助手提供了開箱即用的安全云環(huán)境。而針對企業(yè)級應(yīng)用場景，Amazon Bedrock AgentCore提供了大規(guī)模安全部署OpenClaw所需的安全控制、治理能力和架構(gòu)模式，同時通過Amazon VPC、Amazon CloudFront及Amazon WAF等服務(wù)構(gòu)建多層級的網(wǎng)絡(luò)安全防護(hù)體系。在這一體系下，Amazon Secrets Manager負(fù)責(zé)敏感密鑰的動態(tài)輪轉(zhuǎn)，Amazon Bedrock Guardrails則在語義層面實時過濾非法意圖，實現(xiàn)多維度的安全防護(hù)矩陣。這種穩(wěn)健的架構(gòu)將成為使用像OpenClaw這樣的AI Agent的關(guān)鍵保障，在筑牢安全防線的同時，助力企業(yè)加速釋放AI潛能。

審核編輯 黃宇