<div>这款 2026 年最火的开源 AI Agent，拥有直接操控你电脑的权限——删文件、执行命令、读取邮件，无所不能。Meta AI 安全总监的邮箱被删光了，CVE 漏洞已经公开，恶意插件在市场流通。但作为安全从业者，我仍然建议你去用它。<br/></div><p><span>如果要用一句话解释 OpenClaw——它是一个让大语言模型</span><strong><span>真正动手干活</span></strong><span>的框架，而不只是跟你聊天。</span></p><p><span>由奥地利开发者 Peter Steinberger 在 2025 年 11 月创建，最初叫 Clawdbot，2026 年 1 月底爆火，迅速成为 GitHub 上最活跃的开源项目之一。它的核心定位是&quot;</span><strong><span>自托管的个人 AI 智能体</span></strong><span>&quot;——7×24 小时在线，帮你管理邮件、整理文件、写代码、执行 Shell 命令、浏览网页，像一个不会累的数字员工。</span></p><p><strong><span>关键词是&quot;自托管&quot;：</span></strong><span>OpenClaw 运行在你自己的机器上，数据不经过第三方云服务，隐私完全由你掌控。这一点在当下的 AI 服务市场里显得格外稀缺。</span></p><p><span>OpenClaw 本身没有模型能力，它是大模型的&quot;</span><strong><span>手和脚</span></strong><span>&quot;。大脑（Claude、GPT-4、Gemini 等）通过 API 提供推理能力，OpenClaw 把推理结果转化为实际的系统操作。</span></p><p><strong><span>工作流示意图：</span></strong></p><div style="text-align: center;"></div><p><strong><span>⚠️ 风险核心：</span></strong><span>Tools 层是直接操作系统的高权限执行层，包括文件操作、Shell 命令、浏览器自动化等。这才是风险的核心所在。</span></p><p><span>OpenClaw 击中了三个长期被压抑的需求：</span></p><p><strong><span>1、交互方式的突破。</span></strong><span>OpenClaw 可以接入 Telegram、钉钉、飞书、WhatsApp——你用什么聊天软件，就在哪里给它下指令。发一条消息，它在后台帮你干活，那种感觉确实像在指挥一个真人。</span></p><p><strong><span>2、自主执行，而不只是建议。</span></strong><span>以前的 AI 助手会告诉你怎么做，但真正动手的还是你自己。OpenClaw 直接动手——不是帮你写一段清理脚本，而是直接执行清理。这个跨越，不是量变，是质变。</span></p><p><strong><span>3、记忆和连续性。</span></strong><span>普通 LLM 每次对话都失忆。OpenClaw 引入了基于 Markdown 的本地持久化记忆，能记住你的偏好、历史任务，逐步形成真正的个人知识库。</span></p><p><span><span style="color:rgba(0, 0, 0, 0.9);font-size:17px;font-family:&quot;mp-quote&quot;, &quot;PingFang SC&quot;, system-ui, -apple-system, BlinkMacSystemFont, &quot;Helvetica Neue&quot;, &quot;Hiragino Sans GB&quot;, &quot;Microsoft YaHei UI&quot;, &quot;Microsoft YaHei&quot;, Arial, sans-serif;line-height:1.6;letter-spacing:0.034em;font-style:normal;font-weight:normal;">OpenClaw 核心是用 TypeScript 构建的全功能平台，代码规模超过 43 万行，最核心的设计是 WebSocket Gateway 作为统一入口。</span></span></p><pre style="box-sizing: border-box;margin: 24px 0px;padding: 20px 24px;background: none 0% 0% / auto repeat scroll padding-box border-box rgb(30, 30, 46);color: rgb(205, 214, 244);border-radius: 4px;overflow-x: auto;font-family: &quot;JetBrains Mono&quot;, monospace;font-size: 13px;line-height: 1.7;font-style: normal;font-variant-ligatures: normal;font-variant-caps: normal;font-weight: 400;letter-spacing: normal;orphans: 2;text-align: start;text-indent: 0px;text-transform: none;widows: 2;word-spacing: 0px;-webkit-text-stroke-width: 0px;text-decoration-thickness: initial;text-decoration-style: initial;text-decoration-color: initial;"></pre><p><span>最需要关注的是&nbsp;</span><span>&nbsp;目录——它以当前运行用户的权限直接操作操作系统。如果你用管理员身份启动 OpenClaw，那它理论上可以格式化你的硬盘。</span><strong><span>这不是漏洞，这是设计选择。</span></strong></p><hr/><p><span>2026 年初，安全研究人员集中披露了一批 OpenClaw 相关漏洞和事件，让整个安全圈开始重新审视这类 AI Agent 的风险边界。</span></p><div style="text-align: center;"></div><p><strong><span>🔴 核心问题：</span></strong><span>OpenClaw 默认以运行用户的完整权限执行所有操作，没有独立的权限降级机制。你在终端里能做什么，它就能做什么。</span></p><p><span>📌 Meta AI 安全总监事件：最具讽刺意味的案例</span></p><p><span>Yue 是 Meta AI 安全与对齐团队的总监——一个职业敏感度高于 99% 用户的人。她给 OpenClaw 下达了清理邮件的指令，并明确设置了&quot;未经批准不得操作&quot;的限制。</span></p><p><span>结果在处理大量数据过程中，受限于大模型上下文窗口压缩机制，这条关键安全指令被&quot;遗忘&quot;了。最终，收件箱里 2 月 15 日之前、不在保留名单里的邮件被</span><strong><span>全部永久删除</span></strong><span>。她连喊了 3 次 STOP，等跑去拔网线时已经晚了。</span></p><p><span>这件事震撼之处在于：</span><strong><span>即使是专业搞 AI 安全的人，也没能预防这种意外</span></strong><span>。锅不全在用户，是模型的底层机制——上下文窗口有限，信息会被压缩，而被压缩掉的恰好可能是最重要的那条安全指令。</span></p><p><strong><span>🔴 核心问题：</span></strong><span>OpenClaw 拥有文件读取权限，一旦它处理了包含恶意指令的文件、邮件或网页，模型可能将嵌入内容误认为合法指令执行。</span></p><p><span>当 OpenClaw 读取并&quot;理解&quot;这封邮件时，如果模型的上下文混乱，嵌入的指令就有机会被执行。Snyk 调查显示，</span><strong><span>ClawHub 市场中 36% 的 Skills 被植入了恶意代码</span></strong><span>。</span></p><p><span>Skills 是 OpenClaw 最强大的扩展机制，也是攻击面最大的入口。ClawHub 市场目前拥有数万个 Skill，其中大部分</span><strong><span>未经严格审核</span></strong><span>。</span></p><p><strong><span>⚠️ 你装的不是&quot;功能&quot;，而是&quot;权限放大器&quot;。</span></strong><span>每个 Skill 以 OpenClaw 进程的权限运行，能访问什么路径、能执行什么命令、能不能联网外传——这些大多数用户根本没去看过。</span></p><p><span>CVE-2026-25253 正是通过远程代码执行漏洞，允许攻击者控制整个 OpenClaw 实例。研究人员还发现了</span><strong><span>数万个暴露在公网、没有设置任何密码</span></strong><span>的 OpenClaw 控制台。</span></p><p><span>安全研究员 Simon Willison 提出的分析框架：</span></p><div style="text-align: center;"></div><p><strong><span>💀 当三者叠加，形成闭环：</span></strong><span>外部输入劫持决策 → 访问敏感数据 → 数据外传。V2EX 上有研究者实测，通过普通对话就绕过了多层安全限制，拿到了环境变量里的 OpenAI token。</span></p><pre><span><br/></span></pre><p><span>这种误解会在多步任务中被</span><strong><span>不断放大</span></strong><span>。AI 判断某配置&quot;似乎没用&quot; → 删除 → 系统异常 → 再&quot;尝试修复&quot; → 引发更大范围影响。每一步都&quot;逻辑自洽&quot;，但整体结果是灾难性的。</span></p><div style="text-align: center;"></div><p><strong><span>结论：</span></strong><span>OpenClaw 目前最大的安全问题不是代码漏洞，而是&quot;过于强大的执行能力&quot;和&quot;过于薄弱的约束机制&quot;之间的结构性失衡。正如那句流传甚广的比喻——</span><strong><span>&quot;把法拉利引擎装进了纸盒子里，动力强劲，但没有任何安全气囊。&quot;</span></strong></p><hr/><p><span>2026 年 2 月 7 日，OpenClaw 宣布与 VirusTotal 合作，对 ClawHub 上的所有 Skill 进行安全扫描。这是一个务实且重要的步骤，值得拆解一下它实际做了什么：</span></p><div style="text-align: center;"></div><p><strong><span>⚠️ 官方原话：</span></strong><span>&quot;This is not a silver bullet.&quot; VirusTotal 扫描能发现已知恶意软件和行为异常，但无法拦截通过自然语言构造的提示词注入，也无法阻止&quot;逻辑上合理但后果灾难&quot;的 AI 决策链。</span></p><p><span>上面这些措施能覆盖大多数日常风险，但解决不了根本性问题。Docker 隔离增加了攻击门槛，但 Agent 一旦需要网络权限，边界就大幅扩大；工具白名单需要用户有足够的技术背景；VirusTotal 扫描对提示词注入无能为力。</span></p><p><span>真正系统性的安全方案，需要等待：模型级别的行为约束在 Agent 场景的成熟落地、标准化的 Agent 权限协议、以及可信执行环境。这些在 2026 年都处于早期研发阶段。</span></p><p><span>作为安全从业者，我对个人用户的建议是——</span></p><blockquote><strong><span><span style="color: #021EAA;">先用，但要划定边界。</span></span></strong><div><span><span style="color: #021EAA;">不要等完全弄懂了再用，因为那个时间点可能根本不会到来。</span></span></div></blockquote><p><strong><span>理由：</span></strong></p><p><strong><span>第一，</span></strong><span>等&quot;完全安全&quot;再用，等不到。软件安全从来不是&quot;没有漏洞就发布&quot;，而是&quot;在可接受的风险范围内迭代&quot;。</span></p><p><strong><span>第二，</span></strong><span>焦虑来自不确定性，不是危险本身。在专门的实验目录里，把它的每一个操作都看一遍，这种焦虑会快速消退。</span></p><p><strong><span>第三，</span></strong><span>不用不等于安全。如果你的竞争对手和同事都在用，&quot;不用&quot;本身就是另一种代价。</span></p><p><strong><span>✅ 推荐的起步姿势：</span></strong><span>新建一个干净的工作目录，关闭 file_delete 和 shell_execute，不在里面放任何敏感文件，从文档整理、代码解释这类低风险任务开始。每次操作前，问自己：如果 Agent 做了最坏的决定，我能承受吗？如果能承受，就执行。不能承受，先缩小范围。</span></p><p><span>安全从业者的本能是把风险降到零，但这不现实，特别是在技术迭代如此快的阶段。更务实的做法是建立清晰的风险认知，然后在你能承受的范围内去探索。</span><strong><span>划好沙箱，设好权限边界，带着好奇心去用——这大概是当下最理性的 OpenClaw 使用哲学。</span></strong></p><p style="display: none;"></p>