共计 2471 个字符,预计需要花费 7 分钟才能阅读完成。
将计算任务委托给一只可爱的 AI 甲壳动物或许很诱人——但在这样做之前,你需要正视 OpenClaw 带来的这些安全风险。
ZDNET 关键要点
- OpenClaw,原名 Moltbot 与 Clawdbot,以“真正能做事的人工智能”为口号迅速走红。
- 安全专家警告,切勿在毫无警惕的情况下跟风使用这款 AI 助手。
- 若你计划亲自试用,务必留意以下安全问题。
在收到 Anthropic 的知识产权提示后,Clawdbot 先更名为 Moltbot,并于上周末再次更名为 OpenClaw。它已成为一月底病毒式传播风暴的中心——但使用这款 AI 助手存在你必须了解的安全隐患。
什么是 OpenClaw?
OpenClaw 以一只可爱的甲壳动物形象示人,自称是“真正能做事的人工智能”。这款开源 AI 助手由奥地利开发者 Peter Steinberger 构想,旨在管理你数字生活的方方面面,包括处理电子邮件、发送消息,甚至代表你执行操作,例如办理航班登机等。
正如 ZDNET 先前报道的那样,这款存储在个人计算机上的代理程序,通过 iMessage、WhatsApp 和 Telegram 等聊天应用与用户通信。它拥有超过 50 种集成、技能和插件,具备持久记忆,以及浏览器和全系统控制功能。
OpenClaw 本身并不运行独立的后端 AI 模型,而是利用 Anthropic 的 Claude 和 OpenAI 的 ChatGPT 的能力。
仅在几天之内,OpenClaw 便迅速爆红。在 GitHub 上,它已拥有数百名贡献者和约 10 万个星标——使其成为该平台迄今为止增长最快的 AI 开源项目之一。
那么,问题究竟出在哪里?
1. 病毒式传播为诈骗者创造机会
许多人青睐开源软件,是因为其代码透明,任何人都可以审计漏洞和安全问题,且流行项目通常会形成互助社区。
然而,极速的走红与频繁的改名也给恶意行为创造了可乘之机。据报道,已有虚假仓库和加密货币骗局开始流传。利用突然的名称变更,诈骗者推出了一个假冒的 Clawdbot AI 代币,在崩盘前成功筹集了 1600 万美元。
因此,如果你打算试用,请务必只从官方或可信的仓库获取。
2. 交出你的数字王国钥匙
如果你选择安装 OpenClaw,并希望将其用作个人的、自主的助手,你需要授予它访问你各种账户的权限,并启用系统级控制。
正如 OpenClaw 的官方文档所承认的,没有绝对安全的设置。而思科从安全角度出发,直指 OpenClaw 为“绝对的噩梦”。由于该机器人的自主性依赖于运行 shell 命令、读写文件、执行脚本以及代表你执行计算任务的权限,如果这些权限配置不当,或者你的机器感染了恶意软件,这些高等级特权可能会使你及你的数据面临严重风险。
“据报告,OpenClaw 已经泄露了明文 API 密钥和凭据,威胁行为者可以通过提示注入或不安全的端点窃取这些信息,”思科的安全研究人员表示。“OpenClaw 与消息应用程序的集成,将攻击面扩展到了那些应用本身,威胁行为者可以在其中制作恶意提示,引发意外行为。”
3. 凭据暴露风险
攻击性安全研究员、Dvuln 创始人 Jamieson O’Reilly 一直在监控 OpenClaw。他发现许多连接到网络、没有任何身份验证保护、配置错误的实例。其他研究人员也在此领域有所发现。在数百个实例中,有些根本没有保护措施,导致 Anthropic API 密钥、Telegram 机器人令牌、Slack OAuth 凭据、签名密钥以及对话历史记录遭到泄露。
尽管开发者们迅速采取行动并引入了可能缓解此问题的新安全措施,但如果你想使用 OpenClaw,你必须对自身的配置能力有充分信心。
4. 提示注入攻击
提示注入攻击是当前 AI 网络安全专家的噩梦之源。Irreverent Labs 的 CEO 兼联合创始人 Rahul Sood 列举了一系列与主动式 AI 代理相关的潜在安全问题,称 OpenClaw/Moltbot/Clawdbot 的安全模型“把我吓坏了”。
这种攻击方式要求 AI 助手读取并执行隐藏在网页源代码或 URL 中的恶意指令。随后,AI 代理可能会泄露敏感数据,将信息发送到攻击者控制的服务器,或者在你的机器上执行任务——前提是它拥有这样做的权限。
Sood 在 X 上进一步阐述道:“无论你在哪里运行它……云端、家庭服务器、壁橱里的 Mac Mini……记住,你不仅仅是在给一个机器人访问权限。你是在给一个会从你无法控制的来源读取内容的系统访问权限。这样想吧,世界各地的诈骗者都在欢欣鼓舞,准备摧毁你的生活。所以,请相应地设定其权限范围。”
正如 OpenClaw 的文档所指出的,对于所有 AI 助手和代理而言,提示注入攻击问题尚未得到根本解决。你可以采取措施降低受害风险,但将广泛的系统和账户访问权限与可能出现的恶意提示结合起来,无疑是灾难的配方。
“即使只有你能向机器人发送消息,提示注入仍然可以通过机器人读取的任何不可信内容发生(网络搜索 / 获取结果、浏览器页面、电子邮件、文档、附件、粘贴的日志 / 代码),”文档中写道。“换句话说:发送者并不是唯一的威胁面;内容本身就可以携带对抗性指令。”
5. 恶意技能与扩展
网络安全研究人员已经发现适用于 OpenClaw 的恶意技能实例出现在网上。其中一个典型案例是,1 月 27 日,一个名为“ClawdBot Agent”的新 VS Code 扩展被标记为恶意软件。这个扩展实际上是一个成熟的木马,可能利用远程访问软件进行监视和数据窃取。
OpenClaw 本身并未提供官方的 VS Code 扩展,但这个案例突显了该代理日益增长的人气很可能催生大量恶意扩展和技能,仓库维护者将不得不持续进行检测和管理。如果用户不慎安装了一个恶意扩展,他们可能就在无意中为系统与账户的入侵敞开了大门。
为了强调这个问题的严重性,O’Reilly 甚至构建了一个看似安全但带有后门的技能并将其发布。没过多久,这个技能就被下载了数千次。
尽管我们建议对具有高度自主性并能访问你账户的 AI 助手和代理保持谨慎,但这并非全盘否定这些创新模型和工具的价值。OpenClaw 可能是 AI 代理如何融入我们未来生活的第一个迭代版本,但我们仍然应该极度谨慎,避免为了追逐便利而牺牲个人安全。
