冷思考:OpenClaw爆火的隐忧——AI Agent的安全边界到底该画在哪里
2026年5月,一句"你装龙虾了吗?"成了社交新梗。OpenClaw(昵称"龙虾")自2025年11月首次发布以来,GitHub星标已突破24万,成为全球开发者与普通用户热议的AI Agent焦点。
但在爆火曲线的另一侧,一个被欢呼声掩盖的问题正在浮出水面:当一个AI Agent拥有Shell执行权限、文件读写能力和浏览器操控权时,我们究竟把房门钥匙交给了谁?
能力越大,攻击面越大
OpenClaw的核心卖点是"能动手":自主规划任务、执行Shell命令、读写文件、调用API、控制浏览器——这些不是锦上添花的功能,而是Agent的底层能力。但这也意味着,一个配置不当的Agent实例就是一个潜在的后门。
2026年3月曝光的CVE-2026-25253远程代码执行漏洞就是一个典型警告。攻击者可以通过精心构造的消息触发Agent执行任意系统命令——而这个漏洞在被修复前,已经存在于多个线上部署实例中长达数周。
三重防线,够用了吗?
OpenClaw在v2026.4.11版本中推出了三重防护体系:
权限分级:将操作分为低(文件读取自动执行)、中(邮件发送弹窗确认)、高(Shell执行/数据库写入人工审批)三级,默认禁用shell和browser写权限。
沙箱隔离:支持Docker/虚拟机全量运行,即使Gateway被攻破也无法影响宿主机。工具沙箱支持session级权限隔离。
全流程审计:所有操作日志自动留存≥6个月,支持检索和导出,满足网络安全法第23条要求。
国家互联网应急中心明确推荐企业部署时启用沙箱,以满足等保三级"网络分区、访问控制"的要求。
但问题在于:这三重防线对于企业级场景是"及格线",对于个人用户——尤其是那些通过一键部署包安装、没有安全背景的"小白"——是否足够?
个人用户的安全盲区
OpenClaw生态中有大量面向个人用户的"一键部署包",内置Node.js、Python等全部依赖,解压即用。这在降低使用门槛的同时,也制造了一个安全悖论:最需要安全防护的用户群,恰恰是最不具备安全配置能力的用户群。
一个典型的"小白"部署场景:下载一键包 → 管理员权限运行 → Agent获得系统级权限 → Agent连接到Telegram/微信 → 任何人通过消息平台都可以向这台机器下达指令。
这不是危言耸听。2026年4月,社区已经出现了用户因Agent配置失误导致本地文件被意外删除的案例。
安全不该是"附加功能"
OpenAI、Anthropic等公司对AI安全采取了保守策略——Claude拒绝被用于完全自主武器系统,"Anthropic原则"包括可解释性、人类监督、不伤害他人。这种策略有其代价(如前所述,Anthropic因此被五角大楼排除在军事合作之外),但它确立了一个前提:安全是设计原则,不是事后补丁。
OpenClaw的开源本质决定了它不可能像闭源模型那样做中心化管控。但"开源"和"安全"并不矛盾——Linux的安全记录就是最好的反例。关键在于:安全机制是否作为"默认开启"而非"可选配置"存在。
目前OpenClaw的现状是:安全功能存在(沙箱、权限分级、审计),但对个人用户来说默认并不强制启用。这意味着一个用户从下载到运行Agent再到被攻击,中间可以没有任何安全阻断点。
不是反对龙虾,是要一只"带壳的龙虾"
OpenClaw的核心价值——开源、本地优先、自主执行——值得肯定。它让AI从"对话玩具"变成了"行动工具",这正是AI Agent时代的正确方向。
但行动工具的锋利程度需要和安全护栏的坚固程度同步升级。三条建议:
- 默认安全配置:对个人用户,沙箱和权限分级应该默认开启,而非"推荐开启"。
- 新手安全检查清单:首次启动时自动运行安全检查脚本,检测不安全配置并警告用户。
- 社区安全评级:ClawHub上的5700+技能应有社区安全评级体系,类似浏览器扩展的权限提示机制。
OpenClaw的口号是"The AI that actually does things"。下一阶段的目标应该是"The AI that does things safely."