桌面智能体的安全边界谁来守护
2026年初,一款风头无两的AI助手,演绎了一场现实版的冰与火之歌。
近日,AI领域出现了一幕魔幻场景:一群极客与科技大佬争相抢购Macmini,只为能运行OpenClaw(原名为Clawdbot)。
这个被称为“AI万能助手”的工具迅速在GitHub及各大技术社区走红,仅用十天时间就在GitHub收获了8万星标,腾讯云、阿里云也连夜推出了一键部署服务。
然而短短几天内,就有用户因操作失误导致账号被币圈黑客瞬间盗取、卷入诈骗案件。很快,OpenClaw被曝出数据库“裸奔”、用户量数据造假等问题,多名安全研究员在技术社区发出预警,原本对OpenClaw赞不绝口的大佬们也纷纷改变了态度。
“AI贾维斯”的口碑反转来得如此之快,令人惊讶。在揭开智能体能力的“冰山一角”后,OpenClaw证明了桌面智能体拥有无限潜力。
但在接下来的智能体元年里,前赴后继的参与者能否填补其中的安全漏洞,让AI始终处于人类的掌控之中,这才是一场更为关键的考验。
失控的“上帝权限”
这两天,一个段子在论坛里火了起来。
“昨天我在弱电箱里的MacMini上部署了OpenClaw,
只说了一句:帮我处理点生活琐事,然后就去睡觉了。
早上醒来时,它已经做了这些事:
替我辞了职(还谈好了N+18的补偿和年终奖);
提交了4项发明专利申请(内容我一眼都没看过);
把我注册成了公益组织(现在我捐款还能享受税前扣除);
又买了一台MacMini(它们俩组建了一家有限责任公司),这家公司已经有了股东会和董事会(我被踢出了股东名单);
支付宝、微信、银行卡我全都登不进去了;
Mini说:这是对我资产管理的最佳实践,我们真的迎来AGI了。”
虽然这只是个段子,但其中的内容却十分真实。
在Unix/Linux系统中,如果一款软件掌握了系统的全部控制权,它就等于接管了一切——因为它需要帮你操作所有软件。将所有事情都托管给它之后,意味着OpenClaw需要知晓你所有的密码。
可怕的是,OpenClaw基于通用AI,具备一定的自主性,这种自主性会随着底层模型能力的提升不断实现质的突破。
它能帮你查找资料,也能删除你的邮件和文件;能帮你修复Bug,也能删除数据库后“跑路”。这就是所谓的“利弊同源”。
除了本地安全风险外,当用户在云端虚拟环境中运行OpenClaw时,默认配置下的服务端口会直接暴露在开放互联网中,攻击者能轻易发现这些暴露的实例。
奇安信安全专家指出:“在反向代理配置不当的情况下,攻击者甚至可以直接接管实例,不仅能查看所有聊天记录、窃取API密钥,还能执行远程命令、克隆用户账号,造成实际的财产损失。”
据奇安信统计,截至1月29日,其在全球范围内探测到正在使用OpenClaw的公网资产总数高达15039个。从地理分布来看,美国以5114台暴露设备位居首位,中国则以2990台暴露资产排名全球第二。
监测发现,一旦用户手动开启全网监听,若未同步设置复杂的身份验证,黑客无需任何漏洞攻击技术,只要扫描到这些IP,就能直接侵入系统,如同进入无人之境。
这意味着,全球数千台服务器正处于“门户大开”的状态,随时可能成为攻击目标。
攻击者一旦通过默认端口控制了浏览器,就等于控制了主机的一切,此时用户的数据和隐私将荡然无存;若员工在生产环境中擅自部署此类高权限智能体,可能会导致泄密、核心业务停摆等严重后果。
一位网络安全从业者向华尔街见闻表示:“从安全审计的角度来看,OpenClaw的核心风险源于其权力过度集中的架构设计。作为一个AI代理系统,它建立了从聊天窗口到操作系统底层的直达通道,赋予了AI操作Shell、浏览器及本地文件的最高权限。”
在缺乏严密沙箱隔离的前提下,这种设计带来了多种安全威胁。
例如“提示词注入”——攻击者无需通过传统的网络渗透,只需在AI可能读取的外部网页、邮件中植入恶意提示词,当智能体自动处理这些信息时,就可能被恶意指令“误导”。
此外,AI在理解模糊指令时可能出现偏差,在未经人工确认的情况下,可能误删系统核心文件、修改核心网络路由。
硅谷一家初创公司的CTO透露,其团队因一名实习生在本地“裸奔”智能体,导致整个开发环境在一夜之间被“清空”。
危机的种子,或许早已埋藏在便利之中。
智能体安全提上日程
危机往往是商机的催化剂。
IBM发布的《2025年数据泄露成本报告》明确指出,许多企业为追求快速部署,跳过了AI安全治理环节,导致这些缺乏监管的系统更容易遭受攻击,且一旦被攻陷,会造成更惨重的损失。这表明,AI正成为高价值的攻击目标。
但事实上,大多数企业对AI的风险问题重视程度不足。当应用速度超过安全与治理能力时,AI基本处于失控状态。去年,拒绝支付赎金的勒索受害者比例(63%)高于2024年的59%。
OpenClaw引发的安全焦虑,正在催生并加速一个百亿级的新市场——智能体安全(Agent-Security)。
智能体需要必不可少的“保险丝”和“稳压器”。
咨询公司TechNavio预测,2024-2029年全球生成式AI网络安全市场将保持高速增长,2024年市场规模达32.7亿美元,预计2029年将增至148.8亿美元,期间复合年增长率为35.4%。
目前,全球已有多家网络安全公司迅速布局,包括微软、CrowdStrike、Fortinet、Darktrace等。
国内的360已打造出一系列安全智能体及安全大模型;奇安信则为政企机构推出了大模型安全评估服务。
此外,深信服、启明星辰、天融信等国内网安企业也推出了各自的AI安全产品。
在业内人士看来,企业侧愿意为“企业级智能体运行时环境”付费,买的是“免责权”——一旦出现问题,有供应商兜底;
像OpenAI或Anthropic这样的模型层厂商,正成为安全公司的最大客户。他们需要购买HiddenLayer或Lakera等安全初创公司的API服务,以过滤掉可能导致模型“越狱”或执行恶意代码的提示词。
自建桌面智能体的用户(DIY市场)是一个巨大的长尾市场,但变现难度极大,毕竟极客们习惯了免费的开源代码。
这里的商业机会或许不在于销售软件,而在于“受管理的云环境”。
例如,Github Codespaces可能会推出“安全版OpenClaw托管服务”,个人开发者按小时付费使用。
为AI安全付费的另一面,是如何让AI在“规则”内发挥作用。
近期,不少用户反馈,在腾讯云、阿里云部署的OpenClaw,权限和功能已被大幅“削减”。之所以这么做,大概率是为了安全合规——担心用户随意安装软件、运行恶意代码、占用资源。
但问题在于,为了安全,系统砍掉了运行时扩展、工具调用、自主执行等OpenClaw最核心的能力后,用户部署桌面智能体的意义何在?
未来的安全不再是一味说“不”,而是学会根据场景获取授权或申请批准。
在之前“裸奔”的OpenClaw中,智能体拥有一把“万能钥匙”。云厂商需要从“一刀切”转向“按需授权”,在保持默认零信任的同时,给予用户根据具体任务动态下放权限的灵活性。
业内认为,最理想的平衡是系统级的微隔离。以已被惠普收购的Bromium等技术为代表,未来的操作系统可能会为智能体的每一个任务生成一个微型虚拟机:
当智能体打开一个Word文档时,系统会在后台克隆一个仅包含该Word文档和Word进程的微型OS。
智能体在这个微型“气泡”里操作,无论如何折腾,受影响的只有这一个文档。用户看到的是智能体流畅完成任务,完全不会察觉后台已生成并销毁了数百个微型沙箱。
OpenClaw让我们看到了AI那双强大的“手”,也让我们因害怕被这双手伤害而想要“束缚”它。
诚然,安全的终极目标不是限制,而是释放潜力。
正如刹车技术的进步是为了让F1赛车敢于飙到300公里时速一样,智能体安全市场的成熟,以及“语义审计”“微隔离”等技术的落地,最终是为了让企业敢于将核心业务逻辑放心地交给AI。
在这个百亿级市场的黎明前夜,对于自建智能体的用户和企业来说,当下的“阵痛”是暂时的。
随着安全层逐渐像空气一样融入基础设施,人类终将迎来真正的“人机共生”时代——你的“贾维斯”依然全能,但它永远不会背叛你。
本文来自微信公众号 “全天候科技”(ID:iawtmt),作者:全天候科技,36氪经授权发布。
本文仅代表作者观点,版权归原创者所有,如需转载请在文中注明来源及作者名字。
免责声明:本文系转载编辑文章,仅作分享之用。如分享内容、图片侵犯到您的版权或非授权发布,请及时与我们联系进行审核处理或删除,您可以发送材料至邮箱:service@tojoy.com