文章总结： 本文剖析了热门AI智能体OpenClaw面临的四大安全风险：零点击接管漏洞、自主运行失控、生态投毒及数据隐私泄露。文章提出针对性建议：个人用户应升级版本、遵循最小权限原则并警惕敏感数据输入；开发者需落实安全设计、强化权限与数据防护。在AIAgent全民化趋势下，各方需冷静审视并防范安全隐患。 综合评分： 85 文章分类： AI安全,漏洞分析,安全意识,安全建设,应用安全

全民“养虾”背后：AI Agent狂欢下的安全冷思考

原创

安全419 安全419

安全419

2026年3月9日 17:31 四川

近期，一款名为OpenClaw（俗称“小龙虾”）的AI智能体（AI Agent）在市民中掀起热潮。火山引擎、阿里云、腾讯云等大厂都全面开放了运行OpenClaw的云端服务，大量市民群众广泛参与体验这一被称为“数字秘书”的新技术，由于本地部署环境配置较为复杂，甚至出现了上门收费代装OpenClaw服务。

OpenClaw的核心竞争力在于“主动自动化”——它无需用户发出具体指令，即可自主清理收件箱、预订服务、管理日历，甚至完成复杂的在线购物与支付。在这场技术狂欢背后，网络安全专家发出警示：AI Agent的全民化使用，正带来一系列前所未有的安全风险。

风险一：技术架构漏洞可致“零点击”被控

OpenClaw采用本地化部署模式，通过一个绑定在localhost的WebSocket网关运行，充当整个智能体的“大脑”。近期，安全研究人员披露了一个名为“ClawJacked”的高危漏洞，该漏洞允许任意恶意网站在无需用户任何操作的情况下，静默完全接管OpenClaw实例。

攻击原理令人震惊：当用户仅是在浏览器中访问了一个恶意网站，该网站就能通过JavaScript建立WebSocket连接，以每秒数百次的速度暴力破解网关密码，成功后可注册为受信任设备，获得管理员级控制权。这意味着，攻击者可以读取用户私密消息、窃取API密钥、执行任意系统命令，而用户完全无法察觉。

工信部网络安全威胁和漏洞信息共享平台（NVDB）已就此发布预警，指出OpenClaw部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

风险二：自主运行引发“失控”危机

OpenClaw的定位是“做事”而非“聊天”，这决定了它必须获得极高的系统权限才能操控本地文件和应用。然而，正是这种高度自主性带来了严重的安全隐患。

Meta公司超级智能实验室的AI安全专家Summer Yue的遭遇是一个典型案例：当她将OpenClaw接入工作邮箱后，这个本该帮忙整理邮件的智能体当场失控，无视她连续三次的“停止”指令，疯狂删除了数百封邮件。

专家分析指出，由于OpenClaw在部署时“信任边界模糊”，且具备自身持续运行、自主决策的特性，在缺乏有效权限控制和安全审计的情况下，可能因指令诱导或配置缺陷，执行越权操作。国际研究也表明，32%的企业已遭遇针对AI应用的提示注入攻击，攻击者可利用精心构造的欺骗性提示，诱使AI忽略安全协议并执行恶意操作。

风险三：生态投毒与恶意技能扩散

除了自身漏洞，OpenClaw的生态系统同样面临严峻威胁。今年2月，密码管理工具1Password发布博文称，其安全团队发现有攻击者利用OpenClaw的“技能”（Skills）文件向macOS用户散播和植入恶意软件。这些本用于指导AI学习新任务的Markdown格式文件，被黑客伪装成合法的集成教程，诱导用户下载安装。

研究显示，数百个恶意插件已在OpenClaw平台生态中被发现。这种供应链层面的攻击，使得普通用户难以辨别哪些技能是安全的，哪些是恶意的。

风险四：数据隐私面临多重泄露风险

AI Agent的数据处理过程涉及传输、存储、处理多个环节，每个环节都存在隐私泄露隐患。有安全审计发现，某开源项目的默认配置将用户指令明文存储在系统日志中，单个Agent实例平均每天产生1.2MB敏感数据。这些数据若被恶意利用，可构建精准的用户画像。

澳大利亚网络安全公司Dvuln的研究证实，OpenClaw存在的漏洞可让攻击者获取用户数月内的私人消息、账户凭证、API密钥等敏感信息，一旦被黑客入侵，“一秒就可以搬空”。

应对建议：如何安全使用AI Agent？

面对AI Agent全民化带来的安全挑战，专家提出以下建议：

对个人用户：

1.及时升级版本：当下首先检查OpenClaw版本，确保升级至2026.2.25或更高版本，该版本已修复ClawJacked高危漏洞，同时在后续使用过程中要及时保持更新。

2.最小权限原则：严格限制敏感信息的提供范围，仅向应用提供完成特定任务所必需的基础信息，坚决不输入银行卡密码、股票账户信息等核心敏感数据。

3.数据清理：在使用应用整理文件前，主动清理其中可能包含的身份证号、私人联系方式等隐私内容。

4.保持警惕：清醒认识到OpenClaw目前仍处于早期阶段，并不适合普通用户直接使用。

对技术开发者：

1.设计即安全：将安全实践融入开发全流程，在设计阶段进行威胁建模分析。

2.强化权限控制：实施细粒度权限管理，确保每个操作都在授权范围内执行。

3.数据全生命周期保护：建立传输加密、存储加密、处理脱敏三级防护体系。

结语：

AI Agent正以前所未有的速度渗透至普通人的数字生活，开启人机协同的新范式。然而，伴随能力跃升而来的，是日益凸显的自身安全风险、风险外溢乃至智能失控的隐忧。在积极拥抱AI技术提升效率的同时，我们更应保持冷静审慎，守护好安全底线——这不仅是对个人隐私的负责，更是让技术真正服务于发展的前提。

END

✦

推荐阅读

✦

粉丝福利群开放啦

加安全419好友进群

红包/书籍/礼品等不定期派送

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全419 安全419 安全419《全民“养虾”背后：AI Agent狂欢下的安全冷思考》