大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



 
　　刚养了虾(OpenClaw)，又要养马(Hermes)，2026年的AI智能体圈好不热闹。
 

　　不可否认，自主执行时代带来的效率提升确实够猛。你给它一个任务，它能自己规划步骤、敲命令、读写文件、调API，活脱脱一个“数字员工”，让很多开发者效率高得像开了挂。

　　但太火的东西，通常是一把“双刃剑”。当越来越多的开发者把“龙虾”请进自己的电脑、服务器，甚至企业内网时，一场噩梦也在悄然拉开帷幕，攻击者可能已经拿到了 “你家房门的钥匙”，正大摇大摆地“穿堂入室”。

　　最近，亚马逊云科技的安全团队与客户合作，做了一次系统性分析，结果令人后背发凉。当OpenClaw在处理不可信的外部数据、建立公共互联网连接或访问敏感信息时，其安全风险会急剧上升。

　　今天，我们就来拆解这只“龙虾”火热背后的安全困局，以及如何给它“戴上笼头”，防止它被别人“水煮”。

　　个人应用与企业场景遭遇“连环杀”

　　OpenClaw强就强在“自主”，但“过分自主”意味着，你给它多大权限，它就能“捅多大娄子”。这也是国家互联网应急中心（CNCERT）通过多家主流媒体发布相关预警的根本原因。另外，多家权威安全机构也在强烈建议用户不要在包含敏感数据的系统上直接运行OpenClaw。

　　那么，OpenClaw类“龙虾”到底危险在哪里？答案取决于两样东西：一个是它能访问什么，第二是它能主动做什么！说白了，AI Agent的风险级别，主要取决于其访问权限以及被授权执行的自主动作。当OpenClaw处理不可信的外部数据、建立公共互联网连接或访问敏感信息时，安全风险正在急速攀升。

　　就个人应用而言，OpenClaw的风险主要集中在“恶意Skill投毒”和“提示词注入”。如今，很多用户都会从ClawHub社区下载并安装“Skills”，但这恰好也是恶意插件能够窃取浏览器会话、密码，甚至成为窃取加密货币钱包的新型入口。数据统计，社区中的恶意Skill数量在短短几周内便飙升至800多个，涨幅高达142%。另外，提示词注入也是一种极具隐蔽性的攻击，攻击者也可能藏在普通网页里，执行恶意“脑控指令”。

　　当用户的OpenClaw从个人扩展到企业级应用时，企业不仅要承受前述的恶意插件投毒与提示词注入威胁，还要面对诸多系统性风险。

　　企业场景面临的安全问题，具体如下：

　　1．身份与权限滥用，导致龙虾“被动越权”。在企业场景中，如果AI Agent被赋予了全局知识库的高级访问权限，低权限或无权限的其他人员便可能通过诱导Agent对话，违规获取到原本无权查看的企业机密数据。这种“混淆代理”攻击，本质上是利用了Agent对用户身份的过度信任。

　　2．公开暴露与配置不当，导致企业信息暴漏在公网上。数据显示，当前有超过22万个OpenClaw实例直接暴露在公共互联网上。许多实例存在严重配置失误：服务绑定到非本地地址、以root权限运行、使用弱密码验证……这些“低级错误”为攻击者打开了方便之门。

　　3. 代码质量和安全设计问题导致高危漏洞频发。截至2026年3月，OpenClaw被记录的81个CVE漏洞中，有62.9%为严重或高危漏洞。其中，包含多项可直接导致认证绕过、任意文件读取以及远程命令执行的巨大隐患。当这些漏洞与企业实例的不安全配置叠加时，攻击者便可轻易绕过验证，进而完全接管其基础设施。

　　看得出来，由权限漏洞导致的数据泄露风险正在形成“连环杀”，威胁着每一个组织和个人。攻击者不需要直接黑进你的系统，他们只需要骗过你的龙虾，就能直接替他们干活。

　　给龙虾戴上“笼头”，亚马逊云科技给出五层“纵深防御”策略

　　“养虾”虽然有风险，但也不代表我们要放弃。就像开车，只要系好安全带、遵守交规，就能把风险降到最低。面对龙虾安全挑战，亚马逊云科技的安全专家团队给出了一套为AI Agent量身定制的“五层纵深防御体系”。有了这套体系，等于给虾戴上了“笼头”，可以帮助大家安全养虾。

　　第一层：针对恶意Skill设立“安检闸机”

　　养虾要过的第一道“安全关”——不要什么都往Agent身上装。

　　企业应该建立私有的Skill仓库，所有扩展必须经过审批才能入库。入库前，用AI驱动的安全扫描工具检测，多问几个“有没有”，比如：有没有恶意代码模式？有没有可疑的网络连接？有没有试图读取敏感文件？

　　如果遇到可疑的Skill，先扔进沙箱里跑几天，观察行为，没问题再放行。关键记住一条准则，那就是别让来路不明的插件进你的核心系统。

　　第二层：针对提示词注入戴“防毒面具”，设“前台缓冲区”

　　“防毒面具”是指在数据处理流程中设置多个过滤检查点。当Agent读取网页、邮件、文档时，先在检查点剥离或转义可能的恶意指令。这有点像Web应用防火墙（WAF）对SQL注入的拦截，只不过现在是针对“语义层的注入”。

　　更彻底的做法是多层Agent隔离，把核心任务编排的主Agent，和处理不可信外部数据的子Agent分开。子Agent即使被注入，也只能在“前台缓冲区”里折腾，无法污染主Agent和核心系统。

　　第三层：针对“混淆代理”发起“动态安全令牌”

　　应对被动越权的身份与权限管理挑战时，企业应发放“动态安全令牌”。通过建立统一访问网关，并将其作为Agent与企业服务交互的单一入口点，实现集中审计与上下文感知授权。

　　核心思路是，Agent不能自带权限，必须每次请求都携带最终用户的真实身份委托。企业需建立一个统一访问网关，所有Agent访问内部服务必须经过这个网关。网关会验证：请求发起用户是谁、权限是什么。这相当于给每个请求发了一个“动态安全令牌”，令牌上刻着最终用户的身份。后端服务根据令牌做权限判断，而不是盲目信任Agent，“混淆代理”攻击就这样被堵死了。

　　第四层：针对公开暴露与配置不当隐患，需要披上“隐身斗篷”

　　如何让Agent实例在公网上彻底不可见？方法很简单！通过私有网络隔离和前端策略抵御外部探测，使内部Agent实例在公网上彻底“隐形”。内部管理上，坚持最小权限原则：Agent运行时不要用root，给一个刚好够用的普通账号。同时建立运行时监控，一旦发现实例意外暴露或配置被篡改，立即告警并自动隔离。

　　第五层：针对高危漏洞打造“隔离舱”，同时还要打“数字疫苗”

　　“隔离舱”是指用容器或虚拟机做强隔离。即使某个Agent实例攻破，攻击者也只在那个“舱”里，拿不到宿主机的权限，也无法横向移动到其他系统。“数字疫苗”是则是建立定期的自动化漏洞扫描机制，确保系统及时更新至包含最新安全补丁的OpenClaw版本，实现对新漏洞的快速免疫。

　　云服务加持，不想自己折腾的企业可以“抄作业”

　　如果觉得从头搭”龙虾防御体系”很麻烦，亚马逊云科技还准备了一套现成的方案，以供大家选择。

　　个人开发者/轻量用户：想安全养虾，可以基于Amazon Lightsail的OpenClaw预配置实例。该方案适合个人开发者，或希望快速验证的轻量级用户，这类用户可以一键拉起应用，安全基线已经调好，不用自己配防火墙和权限。

　　企业级用户：Amazon Bedrock AgentCore是企业安全养虾的“福音”。这是一个专门为大规模安全部署AI Agent设计的生产级服务，核心组件包括：1）运行时Runtime（提供无服务器的执行环境，按实际消耗计费）；2）内存Memory（提供长期和短期记忆存储）；3）身份Identity（管理 Agent 对内部系统或第三方应用）；4）可观测性Observability；5）网关 (Gateway)；6）内置工具 (Tools)（提供浏览器 Browser与代码解释器 Code Interpreter等沙箱工具）。

　　为了确保 Agent 不越界，Amazon Bedrock AgentCore内置了多重安全控制，包括：身份验证、访问控制、审计日志等治理能力。配合Amazon VPC、CloudFront、WAF做网络防护，用Secrets Manager自动轮转密钥，用Bedrock Guardrails在语义层过滤非法意图。

　　这套组合拳下来，基本能把OpenClaw的安全风险降到可接受的水平。

　　写在最后

　　AI Agent带来的自主执行应用的爆发不可逆转。OpenClaw只是一个开始，未来会有更多拥有自主能力的“数字员工”进入我们的终端和服务器。比如：Hermes“养马”的发展势头，大有赶超“龙虾”的劲头。

　　不管技术如何发展，安全问题不能将就。所以，亚马逊云科技这次给出的五层纵深防御体系，等于是给行业打了个样。有个成语叫做“亡羊补牢”，就这波AI浪潮而言，别等你的龙虾被别人“水煮”，才想起安全问题没重视。

　　养虾之前，不妨多问自己一句：我的龙虾，关好了吗？