北京2026年4月20日 /美通社/ -- 2026年開年，很多人見面的問候語已成為："你裝龍蝦了嗎？" 從2025年11月首次發(fā)布，OpenClaw已成為現(xiàn)象級的AI Agent并迅速在GitHub上攬獲超過24萬+星標，成為全球開發(fā)者甚至是生活中親朋好友們關注的焦點。憑借強大的自主規(guī)劃任務、執(zhí)行Shell命令、讀寫文件以及調用API的能力，OpenClaw極大地提升了個人開發(fā)者的工作效率。然而，這種革命性的自主能力也如同一把雙刃劍，在賦予其強大生產(chǎn)力的同時，也引入了前所未有的安全挑戰(zhàn)。

AI Agent的風險級別主要取決于其訪問權限以及被授權執(zhí)行的自主動作。當OpenClaw在處理不可信的外部數(shù)據(jù)、建立公共互聯(lián)網(wǎng)連接或訪問敏感信息時，其安全風險會急劇上升。

從個人用戶的角度來看，OpenClaw面臨的威脅主要集中在"惡意Skill投毒"與隱蔽的"提示詞注入"。為了擴展功能，許多用戶會從Skill分發(fā)平臺ClawHub社區(qū)下載并安裝"Skills"擴展。據(jù)統(tǒng)計數(shù)據(jù)顯示，社區(qū)中的惡意Skill數(shù)量在短短幾周內便飆升至800多個，漲幅高達142%。這些惡意插件能夠竊取瀏覽器會話、密碼，甚至成為竊取加密貨幣錢包的新方式。間接的"提示詞注入"則是一種極具隱蔽性的攻擊手段。攻擊者可將惡意指令隱藏在普通的網(wǎng)頁或文檔中，當OpenClaw讀取這些內容時，便會被劫持執(zhí)行非授權操作。曾有真實案例顯示，研究人員僅通過網(wǎng)頁和郵件中的隱藏提示詞，就能夠成功獲取目標OpenClaw的完整控制權。目前，國家互聯(lián)網(wǎng)應急中心（CNCERT）也已通過多家主流媒體發(fā)布相關預警，多家權威安全機構也在強烈建議用戶不要在包含敏感數(shù)據(jù)的系統(tǒng)上直接運行OpenClaw。

當OpenClaw的部署場景擴展到企業(yè)級應用時，企業(yè)用戶不僅要完全承受前述的惡意插件投毒與提示詞注入威脅，還要承受權限、配置與高危漏洞帶來的系統(tǒng)性風險。首先是身份與權限的濫用問題，尤其是"混淆代理"導致的Agent被動越權型風險。例如在企業(yè)環(huán)境中，若作為數(shù)字員工的AI Agent被賦予了全局知識庫的高級訪問權限，低權限或無權限的其他人員便可能通過誘導Agent對話，違規(guī)獲取到原本無權查看的企業(yè)機密數(shù)據(jù)。其次，企業(yè)往往面臨更嚴峻的公開暴露與配置不當風險。數(shù)據(jù)顯示，當前有超過22萬個OpenClaw實例直接暴露在公共互聯(lián)網(wǎng)上。許多實例存在將服務綁定到非本地地址、以root權限運行或弱密碼驗證等嚴重配置失誤。不僅如此，OpenClaw在爆發(fā)式增長的同時，其代碼質量與安全設計問題也逐漸暴露。截至2026年3月，OpenClaw被記錄的81個CVE漏洞中有62.9%為嚴重或高危漏洞。其中包含了多項可直接導致認證繞過、任意文件讀取以及遠程命令執(zhí)行的巨大隱患。當這些漏洞與企業(yè)實例的不安全配置相疊加時，攻擊者便可輕易繞過驗證，進而完全接管其基礎設施。

面對上述圍繞OpenClaw的安全威脅，亞馬遜云科技安全與合規(guī)的專家們在與客戶進行充分探討后，給出了具體、可執(zhí)行建議——企業(yè)必須為這位超級"數(shù)字員工"量身定制縱深防御體系。

首先，針對惡意Skills投毒，企業(yè)需要為OpenClaw設立"安檢閘機"。避免隨意安裝外部擴展，建立由企業(yè)管理的私有Skills倉庫并強制審批。所有擴展在入庫這道"閘機"前，必須通過由AI驅動的安全分析工具進行掃描，以檢測是否存在惡意代碼模式、可疑網(wǎng)絡連接或憑證竊取嘗試，可疑Skills則應在沙箱中進行觀察。而面對提示詞注入攻擊，企業(yè)需要為數(shù)據(jù)處理流程戴上"防毒面具"，并設立"前臺緩沖區(qū)"。"防毒面具"指的是在數(shù)據(jù)處理層面的多個檢查點進行內容過濾，以攔截隱藏在網(wǎng)頁或文檔中的惡意指令。"前臺緩沖區(qū)"則是指在架構層面實施多層Agent隔離，將負責核心任務編排的主Agent與處理不可信外部數(shù)據(jù)的子Agent分離，將"毒性"輸入攔截在緩沖區(qū)內，防止核心系統(tǒng)被注入劫持。

應對被動越權的身份與權限管理挑戰(zhàn)時，企業(yè)應發(fā)放"動態(tài)安全令牌"。通過建立統(tǒng)一訪問網(wǎng)關，并將其作為Agent與企業(yè)服務交互的單一入口點，實現(xiàn)集中審計與上下文感知授權。結合身份傳播機制，該"安全令牌"能確保Agent在訪問后端系統(tǒng)時，始終攜帶并驗證最終用戶的真實身份委托，有效封堵無權限人員通過誘導Agent來竊取機密數(shù)據(jù)的混淆代理漏洞。

為了消除公開暴露與不安全配置帶來的隱患，企業(yè)需要為OpenClaw實例披上"隱身斗篷"。通過私有網(wǎng)絡隔離和前端策略抵御外部探測，使內部Agent實例在公網(wǎng)上徹底"隱形"。在內部管理上，則須落實最小權限與非root運行，并建立持續(xù)的運行時監(jiān)控體系，以便快速發(fā)現(xiàn)未授權暴露或配置篡改，實現(xiàn)實時告警與自動響應隔離。

最后，針對底層高危漏洞，企業(yè)需要打造"隔離艙"式的安全運行時環(huán)境，并定期接種"數(shù)字疫苗"。"隔離艙"是指使用隔離的虛擬機或容器進行部署，并利用沙箱技術將潛在漏洞影響限制在特定空間，防止基礎設施被接管。更為根本的"數(shù)字疫苗"方案，則是建立定期的自動化漏洞掃描機制，確保系統(tǒng)及時更新至包含最新安全補丁的OpenClaw版本，實現(xiàn)對新漏洞的快速免疫。

當然，除了自行打造上述安全實踐和解決方案，開發(fā)者和企業(yè)還可以采用已有的云服務和豐富的工具從容應對安全挑戰(zhàn)。對于個人開發(fā)者或希望快速驗證的輕量級用戶，亞馬遜云科技已推出了基于Amazon Lightsail的OpenClaw預配置實例，為個人數(shù)字助手提供了開箱即用的安全云環(huán)境。而針對企業(yè)級應用場景，Amazon Bedrock AgentCore提供了大規(guī)模安全部署OpenClaw所需的安全控制、治理能力和架構模式，同時通過Amazon VPC、Amazon CloudFront及Amazon WAF等服務構建多層級的網(wǎng)絡安全防護體系。在這一體系下，Amazon Secrets Manager負責敏感密鑰的動態(tài)輪轉，Amazon Bedrock Guardrails則在語義層面實時過濾非法意圖，實現(xiàn)多維度的安全防護矩陣。這種穩(wěn)健的架構將成為使用像OpenClaw這樣的AI Agent的關鍵保障，在筑牢安全防線的同時，助力企業(yè)加速釋放AI潛能。

審核編輯 黃宇