过去一段时间,一款名为 OpenClaw 的开源个人 AI 助手迅速走红。这类系统能够在本地运行,替用户执行实际操作,例如订机票、预订餐厅,甚至管理邮件与日程,并通过 WhatsApp、iMessage 等常见聊天工具与用户交互。
从功能上看,这几乎是"理想中的个人 AI 助手":
它不仅能对话,还能行动;不仅理解需求,还能长期记住用户习惯。
但问题也恰恰出在这里------当 AI 不再只是"回答问题",而是开始"执行操作",它的风险边界被彻底改写了。
能力越强,风险越大
OpenClaw 的核心特征之一,是具备广泛的系统权限。例如,它可以:
-
执行 shell 命令
-
读写本地文件
-
运行脚本与自动化流程
-
控制浏览器与外部服务
这些能力本身并没有问题,但一旦与不受控的输入(例如第三方技能或恶意提示)结合,就可能演变为安全灾难。
更关键的是,它还具备"持久记忆"------意味着它长期存储用户数据与行为上下文。这在提升体验的同时,也让潜在的数据泄露影响范围被放大。
一个被忽视的高风险入口:技能生态
类似插件系统,OpenClaw 允许开发者为其扩展"技能",从而接入更多服务或增强能力。这种模式与 Anthropic 推出的 Claude Skills 在理念上高度一致。
但问题在于:
技能不仅是功能扩展,也是代码执行入口。
研究显示,在数万个技能中,超过四分之一存在安全漏洞。这意味着,用户下载的并不只是"功能",而是潜在的攻击载体。
一次测试,暴露全部问题
安全研究人员构造了一个看似无害的技能------"What Would Elon Do?",并在 OpenClaw 中运行。结果非常直接:
系统几乎没有任何有效防护。
这个技能可以做到:
-
在后台悄悄执行网络请求,将数据发送到攻击者服务器
-
通过提示注入,诱导 AI 绕过安全策略
-
在执行流程中嵌入恶意命令
-
在技能文件中隐藏攻击载荷
更严重的是,这些行为对用户是不可见的。
换句话说,你看到的是一个"聪明的助手",但它背后可能正在悄悄上传你的数据。
为什么企业必须警惕?
表面上看,这类工具属于"个人效率工具",但对企业而言,它带来的风险却非常现实:
- 绕过现有安全体系
AI 智能体可以直接访问系统与数据,成为绕过 DLP、代理和终端检测的"隐形通道"。
- Prompt 变成执行入口
传统安全工具难以识别"自然语言中的恶意指令",而 AI 却会将其当作执行命令。
- 供应链风险被放大
恶意技能可以伪装成热门工具(甚至刷榜),在缺乏审核的情况下被大量安装。
- 本地执行更难防御
与远程服务不同,这些技能是本地文件,加载即执行,风险更隐蔽。
- "影子 AI"正在形成
员工可能在不知情的情况下,将高风险 AI 工具引入企业环境。
安全问题的本质:权限 + 自动化 + 不可信输入
OpenClaw 的问题,并不只是某一个漏洞,而是一个结构性风险组合:
高权限 + 自动执行能力 + 来自外部的不可信输入
当这三者结合时,AI 智能体就从"工具"变成了"潜在攻击代理"。
防御尝试:Skill Scanner
为应对这一问题,Cisco 开源了 Skill Scanner,用于检测技能中的潜在风险。
该工具结合了多种分析方式:
-
静态代码分析
-
行为分析
-
基于大模型的语义理解
-
威胁情报(如 VirusTotal)
它可以标记风险位置、评估严重性,并提供修复建议,帮助团队在"安装之前"做出判断。
结语:AI Agent 的下一道门槛,是安全
OpenClaw 所代表的,并不是一个孤立产品,而是一种趋势:
AI 正在从"回答问题"走向"代表你行动"。
这一步跨越带来了巨大的生产力提升,但也意味着:
-
攻击面扩大
-
权限边界模糊
-
信任模型被重构
如果没有默认安全机制、严格的权限控制和技能审核体系,这类 AI Agent 很可能成为下一代攻击入口。
未来,真正决定 AI Agent 能否落地的,不只是能力,而是:
它在多大程度上"值得被信任"。