OpenClaw爆火即翻车：AI万能助手的安全失控启示录

2026年开年，一款大红大紫的AI助手，上演了一场惊心动魄的“冰与火之歌”。

这几天，AI行业出现了魔幻一幕：一群极客和科技大佬排队抢购Mac mini，只为跑上OpenClaw（原名为Clawdbot）。这款号称“AI万能助手”的软件迅速席卷GitHub及各大技术社区，短短十天便在GitHub上狂揽8万星标，腾讯云、阿里云甚至连夜上线了一键部署服务。

然而好景不长，仅过数日，就有用户因操作失误导致账号被币圈黑客秒盗，并卷入诈骗案件。随后OpenClaw被曝出数据库“裸奔”、用户数据造假等问题，多名安全研究员在技术社区发出预警，原先盛赞OpenClaw的大佬们也纷纷改口。

“AI贾维斯”的口碑反噬来得如此之快，令人咋舌。在揭开agent能力“天宫一角”后，OpenClaw证明了桌面agent的潜力无限。但后续的agent元年，前赴后继的玩家能否弥补其中的安全漏洞，让AI依旧掌控在人类的管辖之中，则是一场更为重要的大考。

失控的“上帝模式”

这两天，一则段子在论坛里火了。

“昨天我在弱电箱里的MacMini上部署了OpenClaw，交代一句：帮我处理点生活琐事然后就去睡了。早上醒来，它已经：替我辞职（谈好了N+18补偿+年终奖）；提交了4项发明专利申请（内容我一眼没看过）；把我本人注册成了公益组织（现在我捐款还能税前扣除）；又买了一台MacMini（它们俩组了个有限责任公司），有限责任公司已经有股东会和董事会了（我被踢出股东名单）；支付宝/微信/银行卡我全登不进去了；Mini说：这是对我的资产管理的最佳实践，我们真的迎来AGI了”。

虽然只是个段子，但段子里的场景却非常真实。在Unix/Linux系统中，如果一个软件掌握了系统的所有控制权，那它便能接管一切——因为它需要帮你操作所有软件。把所有事情托管给它之后，也意味着OpenClaw必须知道你所有的密码。

可怕之处在于，OpenClaw基于通用AI，具备一定的自主性，而这种自主性会随着底层模型能力的提升不断获得质的突破。它能帮你找资料，也就能删掉你的邮件、文件；它能帮你修复Bug，也能删库跑路。这就是所谓的“盈亏同源”。

除了本地安全风险之外，当用户将OpenClaw运行在云端虚拟环境时，若采用默认配置，OpenClaw的服务端口将直接暴露在开放的互联网上，攻击者可以轻易发现这些暴露实例。奇安信安全专家指出，“在使用不当配置的反向代理场景下，攻击者甚至可直接接管实例，后者不仅能够查看所有聊天记录、窃取API密钥，还能执行远程命令、克隆用户账号，造成实质性的财产损失”。

据奇安信统计，截至1月29日，其在全球范围内测绘到正在使用OpenClaw的公网资产总数高达15039个。从地理分布看，美国以5114台暴露设备居首，中国则以2990台暴露资产位列全球第二。监测发现，一旦用户手动开启了全网监听，若没有同步设置复杂的身份验证，黑客甚至不需要任何漏洞攻击技术，只要扫到这些IP，就能直接潜入系统，如同进入无人之境。

这意味着，全球数千台服务器正处于“中门大开”的状态，随时可能成为被攻击的标靶。攻击者一旦利用默认端口控制了浏览器，那么它也会控制主机一切，此时用户数据和隐私都将不复存在；若员工在生产环境中擅自部署此类高权限Agent，恐将造成泄密、核心业务停摆等后果。

一名从事网络安全的人士向华尔街见闻指出，“从安全审计的角度看，OpenClaw的核心风险源于其权力过度集中的架构设计。作为一个AI代理系统，它建立了一条从聊天窗口到操作系统底层的直达管道，赋予了AI操作Shell、浏览器及本地文件的最高特权”。在缺乏严密沙箱隔离的前提下，这种设计带来了多种安全威胁，例如“提示词注入”：攻击者无需通过传统的网络渗透，只需向AI可能读取到的外部网页、邮件中植入恶意提示词，当Agent在自动化处理这些信息时，可能被指令洗脑。此外，AI在理解模糊指令时可能产生偏差，在未经人工确认的情况下，可能误删系统核心文件、修改核心网络路由。硅谷一家初创公司CTO透露，其团队因为一名实习生在本地裸跑了Agent，导致整个开发环境在一夜之间被“洗白”。危机的种子，或许早已埋藏在便利之中。

智能体安全上日程

危机从来都是商机的催化剂。IBM发布的《2025年数据泄露成本报告》直言，众多企业为追求快速上马，跳过了AI安全治理环节，导致这些缺乏监管的系统更易遭受攻击，且一旦失陷会造成更为惨重的损失。这表明，AI正成为高价值的攻击目标。但事实上，大部分企业对AI的风险问题仍不够重视。当应用速度超越安全与治理能力时，AI基本处于失控状态。去年，拒绝支付赎金的勒索受害者比例（63%）高于2024年的59%。

OpenClaw带来的安全焦虑，正在催生并加速一个百亿级的新市场——Agent-Security（智能体安全）。agent需要必不可少的“保险丝”和“稳压器”。咨询公司TechNavio预测，2024-2029年全球生成式AI网络安全市场将呈现高速增长，2024年市场规模达32.7亿美元，预计2029年将增至148.8亿美元，期间复合年增长率为35.4%。

眼下，全球已有多家网络安全公司火速出牌，包括微软、CrowdStrike、Fortinet、Darktrace等。国内的360已打造出一系列安全智能体以及安全大模型；奇安信则为政企机构推出了大模型安全评估服务。此外，深信服、启明星辰、天融信等国内网安企业都推出了自家AI安全产品。在业内看来，企业侧会为“企业级Agent运行时环境”付费，买的是“免责权”——一旦出事，有供应商兜底；像OpenAI或Anthropic这样的模型层厂商，正在成为安全公司的最大客户，他们需要购买HiddenLayer或Lakera等安全初创公司的API服务，以过滤掉那些可能导致模型“越狱”或执行恶意代码的提示词。自建桌面Agent用户（DIY市场）则是一个巨大的长尾市场，但变现极难，毕竟极客们习惯了免费的开源代码。这里的商业机会或许不在于卖软件，而在于“被管理的云环境”。例如，Github Codespaces可能会推出“安全版OpenClaw托管服务”，个人开发者按小时付费。

为AI安全付费的另一面，是如何让AI在“笼子”里跳舞。近期，就有不少用户反馈，在腾讯云、阿里云部署的OpenClaw，权限和功能已经被大幅“阉割”，这么做大概率是为了安全合规——怕用户乱装软件、跑恶意代码、占用资源。但问题在于，为了安全，系统把运行时扩展、工具调用、自主执行等OpenClaw最核心能力全部砍掉后，用户部署桌面agent的理由何在？未来的安全不再是永远说“不”，而是学会根据场景获取授权或申请批准。在此前“裸奔”的OpenClaw中，Agent拥有一把万能钥匙。云厂商需要从“一刀切”转向“按需升权”，在保持默认零信任的同时，给予用户根据具体任务动态下放权力的灵活性。

在业内看来，最极致的平衡是系统级的微隔离。以已被惠普收购的Bromium等技术为代表，未来的操作系统可能会为Agent的每一个任务生成一个微型虚拟机：让Agent打开一个Word文档时，系统在后台克隆一个只包含这个Word文档和Word进程的微型OS。Agent在这个微型气泡里折腾，无论它怎么乱搞，受影响的只有这一个文档。在你看到Agent流畅地完成任务的同时，完全感觉不到后台已经生灭了数百个微型沙箱。

OpenClaw让我们看到了AI那双强有力的“手”，也让我们因为害怕被这双手伤害而想要砍断它。诚然，安全的终极目标不是为了限制，而是为了解放。正如刹车技术的进步是为了让F1赛车敢于飙到300公里时速一样，Agent安全市场的成熟，以及“语义审计”、“微隔离”等技术的落地，最终是为了让企业敢于把核心业务逻辑放心地交给AI。在这个百亿级市场的黎明前夜，对于自建Agent的用户和企业来说，即刻的痛苦是暂时的。随着安全层逐渐像空气一样融入基础设施，人类终将迎来真正的“人机共生”时代——你的贾维斯依然全能，但它永远无法背叛。