文章总结： Transformer作者IlliaPolosukhin使用Rust语言重写了存在严重安全漏洞的OpenClawAI编码工具，推出IronClaw项目。该工具通过四层纵深防御体系（提示注入过滤、沙箱隔离、加密凭证保险库和可信执行环境）全面加固安全性，解决了OpenClaw中25000个公开实例暴露的远程代码执行、提示注入等风险。项目已开源并支持多平台部署，建议开发者尽快评估现有AI工具安全性并考虑迁移。 综合评分： 89 文章分类： 漏洞分析,安全工具,解决方案,安全建设,应用安全

Transformer作者出手了：Rust重造IronClaw，把OpenClaw的漏洞全堵上

原创

重生之咸鱼说安全 重生之咸鱼说安全

重生之咸鱼说安全

2026年6月11日 18:00 浙江

在小说阅读器读本章

去阅读

Transformer作者出手了：Rust重造IronClaw，把OpenClaw的漏洞全堵上

01｜25000个公开实例裸奔在互联网上，这是什么概念？

朋友们，近几个月看到很多新闻，我整个人都不好了。

25000个OpenClaw实例，直接暴露在公网上，没有任何安全防护。安全研究员看完直接说了一句话：“这简直是安全垃圾火灾（security dumpster fire）”。

你没听错，就是那个OpenClaw——那个让无数开发者爱恨交加的AI编码工具。

爱它，是因为它真的能帮你写代码、解bug、甚至帮你做项目规划；恨它，是因为它的安全性约等于裸奔。什么一键远程代码执行、提示注入攻击、恶意技能窃取密码……这些漏洞在OpenClaw的生态里，一个接一个被曝光。

说实话，我之前也用过一阵子OpenClaw。当时就觉得这玩意儿挺好用的，但心里一直有个疙瘩——这安全吗？

现在看来，这个疙瘩不是多余的。

02｜Transformer作者为什么要重写一个”垃圾”？

说到这儿，你可能会问：OpenClaw这么烂，为什么还有人用？

因为它确实强啊。

OpenClaw背后是Claude、Mistral这些顶级大模型，能帮你完成很多复杂的编程任务。对于需要快速迭代项目的开发者来说，这玩意儿简直是神器。

但问题就是——太不安全了。

安全研究员Danilu Denyshev直接开喷：“OpenClaw的安全状况堪称灾难，超过25000个公开实例在没有充分安全控制的情况下暴露在互联网上”。

这个时候，Transformer论文的作者之一Illia Polosukhin看不下去了。

对，就是那个和Ashish Vaswani一起写《Attention Is All You Need》的大佬。他直接出手，从零重构了一个安全版的OpenClaw——叫IronClaw。

Rust语言重写，全方位加固，号称把OpenClaw的核心漏洞全部堵死。

这波操作，怎么说呢，就很像是：大佬看不下去你们在一个随时会塌的危楼里办公，直接在旁边盖了个五星级安全大厦。

03｜IronClaw的四层纵深防御，到底强在哪？

我仔细研究了一下IronClaw的技术架构，说实话，被震撼到了。

它建立了四层纵深防御体系，每一层都直击OpenClaw的痛点。

第一层：提示注入过滤器

这是OpenClaw最大的坑。攻击者可以在对话里植入恶意指令，让AI帮你干坏事——比如泄露密码、下载木马、甚至修改你的代码。

IronClaw怎么解决？它在模型处理输入之前，先过一遍过滤器，检测并拦截可疑的注入模式。

第二层：沙箱隔离

即使攻击者绕过第一层，恶意代码也别想逃出沙箱。IronClaw把AI的执行环境完全隔离，代码只能在受限空间里运行，想访问你的文件系统？没门。

第三层：加密凭证保险库

这是最让我眼前一亮的设计。

所有API密钥、密码都用AES-256-GCM加密存储。更重要的是，每一条凭证都绑定了策略规则——规定它只能用于特定域名。

什么意思？打个比方，你给ChatGPT的密钥，只能用来调用ChatGPT，想拿去干别的？门都没有。

第四层：可信执行环境（TEE）

这是硬件级别的防护。哪怕云服务提供商想看你数据，也看不到。TEE就像一个物理保险箱，把最敏感的信息锁在里面。

用菠萝哥的话说：“大模型本身永远接触不到原始凭证。只有当智能体需要与外部服务通信时，凭证才会在网络边界被注入。”

这个设计太重要了。以前OpenClaw的问题是：LLM能看到你的所有东西，包括密钥。现在？LLM只能看到它需要知道的东西，而且永远是加密后的。

04｜IronClaw怎么用？GitHub在哪里？

好，说了这么多，肯定有朋友想问：这玩意儿在哪能用到？

GitHub地址：https://github.com/nearai/ironclaw

目前已开源，支持三大平台：macOS、Linux、Windows。支持本地部署，也支持云端托管。项目目前处于快速迭代阶段。

从OpenClaw迁移到IronClaw，难度不大。主要变化：

1. 安装方式变了：不再用传统的包管理，改用官方提供的二进制文件

2. 配置项调整：需要重新配置凭证保险库，把之前的API密钥迁移进去

3. 策略设置：可以为不同凭证设置使用范围策略

不过有一点需要注意：IronClaw目前还处于完善版本，功能上可能没有OpenClaw那么完善。菠萝哥自己也说了，随着核心版本趋于稳定，团队计划进行红队测试和专业安全审查。

所以，如果你追求的是稳定，可能再等等；如果你追求的是安全，现在就可以开始迁移了。

05｜AI编码工具安全进入2.0时代

写到最后，我忍不住感慨。

开源社区真的太卷了。OpenClaw问题没多久，大佬直接下场重写一个安全版。这种”看不下去就自己造”的精神，真的让人佩服。

同时，这件事也给我们敲响了警钟：

AI编码工具现在已经成为无数开发者的日常生产力工具。我们把越来越多的代码、密钥、项目交给AI处理。但这些工具的安全性，真的跟上来了吗？

IronClaw的出现，或许意味着AI编码工具安全正式进入2.0时代——不再是裸奔式的”能用就行”，而是”安全第一”。

对于我们开发者来说，建议很简单：如果你的工作涉及敏感信息、密钥、项目代码，尽快评估你的AI工具安全性。IronClaw是一个选择，其他安全的替代方案也可以考虑。

安全这事，永远是预防优于补救。

GitHub传送门 👇

https://github.com/nearai/ironclaw

觉得有用的话，转发给你身边用AI编码工具的朋友吧。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：重生之咸鱼说安全 重生之咸鱼说安全 重生之咸鱼说安全《Transformer作者出手了：Rust重造IronClaw，把OpenClaw的漏洞全堵上》