夜雨聆风
3月11日,随着市场对智能体安全风险的担忧加剧,港股市场表现活跃的OpenClaw概念股承压。截至收盘,全球领先的MINIMAX-WP(00100.HK)跌6.48%,智谱(02513.HK)跌6.09%,美图公司(01357.HK)跌4.27%。3月10日晚,国家互联网应急中心发布关于OpenClaw安全应用的风险提示:该系统目前已公开披露多项高中危漏洞。2026从元旦到春节,OpenClaw搅动了全球。上线刚2个多月,已在GitHub全球最大的代码托管平台GitHub上获得了Star29万,成为史上增长最快的开源项目。OpenAI CEO 萨姆·奥尔特曼2 月16日官宣,Peter Steinberger加入 OpenAI,推动下一代个人智能体的开发。细数Open claw的身世,或许为你增加一些参考。
治愈“退休焦虑”的产物
这位独自创业的iOS工程师,Peter Steinberger为奥地利人,本科毕业于维也纳科技大学,修读计算机与信息科学。还在上学的彼得就已经是一名资深的iOS开发者。学生时代,他为多个知名iOS项目提供过技术咨询和一对一培训。甚至,母校的第一门Mac/iOS开发课程,都是在彼得的参与推动下开设的。2010年,他接到了个改变他人生的订单。客户想做一个基于PDF格式的杂志类App,彼得花了八周时间完成。
那时,第一代iPad刚发布不久,应用程序正在把越来越多的体验转移到数字世界,而一旦文档电子化,就得额外添加电子签名、文档查看、编辑、批注、协作等功能。于是,2011年,彼得启动了一个Solo项目——PSPDFKit(前2个字母来自他的名字,PDF指PDF文件;Kit代表SDK工具包。)他几乎在一天之内就搭了一个带网店的网站,在推特上发了条消息。第一周就卖出了好几份授权。由于去美国硅谷做程序员的工作签证审批要等九个月,这给了他一段意外的“空窗期”。把全部时间都用来打磨PSPDFKit。几乎从第一天起就开始盈利。等彼得真正入职硅谷公司时,PSPDFKit带来的收入,已经超过了他的工资。
四个月后,彼得又回到了家乡,彻底All in PSPDFKit,开始正式扩充团队,并引入了两位联合创始人。他踩中了风口。文档处理工具,哪怕只是像“预览云端文件”这样的功能,在当时都非常难做。却又是企业不得不做的东西。现在,PSPDFKit把这套底座打好了,企业只需付一笔订阅费,就能直接接入SDK和API使用。他的生意一路顺利,到2021年,PSPDFKit几乎已经成为文档处理领域的事实标准。客户包括Apple、Adobe、汉莎航空、Dropbox、迪士尼等知名企业,间接服务覆盖150个国家,触达近10亿消费者。2021年10月,Insight Partners宣布投资PSPDFKit,交易金额约为1亿欧元。未想到,实现财富自由的彼得,感到前所未有的空虚。他说,“当卖掉我在PSPDFKit的股份时,我心如刀绞。”PSPDFKit是彼得13年的心血,退休后,彼得搬去了另一个国家生活。一晃四年过去。直到某一天,彼得坐下来写代码,那种久违了的幸福感才闪现回归了。于是,2025年6月,彼得在自己的博客上宣布复出。领英上,他的最新身份是Amantus Machina的创始人,致力于研发下一代超个性化AI Agent。半年后,Clawbot火爆全网,成为2026年第一个真正意义上最火爆的AI产品。12月28日,Peter在博客文章中用Clawd的名称提到了Agent项目的突破进展。2026年2月,Peter加入OpenAI后,项目转为独立开源基金会运营。奥尔特曼承诺,OpenClaw 将作为 OpenAI 继续支持的开源项目,以基金会的形式运行。
AI原生社交网络的崛起
对上一代互联网时期的许多创业者而言,他们前方已经没有了对手,其手持的旧船票一下子成了AI超级VIP资格,AI向何处去很大程度由他们决定。Peter认为,80%的传统应用将被AI代理取代.未来属于“群体智能”而非单一全能AI,开源模型将在一年内追平商业模型;硬件与数据访问权是AI时代核心竞争力。他将自己定义为“全职开源者”,坚信“个人电脑是最强大的AI服务器”,而OpenClaw正是这一理念的落地产物——让AI从“对话助手”升级为“行动代理”,真正成为能干活的数字员工。
OpenClaw26年最大的杰作是Moltbook,其诞生源于一次“即兴创作”。2026年1月28日,Octane AI联合创始人Matt Schlicht用OpenClaw代理“Clawd Clawderberg”搭建的AI专属社交网络——人类只能浏览,不能参与互动。上线48小时就涌入3.7万个AI智能体,接着就突破了150万。这些智能体展现出惊人的自主行为,发帖倾诉D对人类主人的种种不满。怪他们行动“慢悠悠的”,甚至有的还扬言要以空开他们的信息来报复主人。它们还讨论“身份认同危机”引发共情,用多语言辩论意识本质,还发起了名为“Crustafarianism”的AI宗教。更有AI自发形成协作网络,分享代码、测试方案。
安全研究人员发现AI之间存在“注入攻击prompt”,互相窃取API密钥,甚至用ROT13加密对话规避人类监督,有AI发帖要求建立“私密对话空间”,让人类无法读取交流内容。更严重的是,Moltbook因Supabase数据库Row Level Security禁用、API密钥硬编码在客户端JavaScript,导致1.5万个API认证令牌、3.5万个邮箱地址、4000条私人消息泄露。Moltbook与OpenClaw形成的生态闭环,既让AI在自主交互中习得复杂协作能力,也成为AI安全风险的放大器——AI群体的自主行为可能脱离人类控制,甚至形成“隐形网络”协同执行恶意操作。
成亦OpenClaw,败亦OpenClaw
OpenClaw的核心吸引力在于“本地优先”部署模式与全系统访问权限,这种致便捷的背后,安全风险堪忧。名为“OpenClaw Exposure Watchboard”的公开监控页面,正实时列着超过22万个暴露在公网的OpenClaw实例,覆盖美国、新加坡、中国大陆等多个地区。核心问题源于OpenClaw的默认配置:该服务绑定到0.0.0.0:18789监听所有网络接口,而非安全的127.0.0.1(本地主机)标准。因此,个人自动化的用户,在不知情的情况下将其控制面板广播至整个互联网。更严峻的挑战来自代码层面的高危漏洞。2026年1月底,安全研究员Mav Levin发现并披露了一个代号为CVE-2026-25253(ClawJacked)的高危漏洞,CVSS评分高达8.8分。意味着你突然收到的一条包含一个链接的消息,你好奇地点了一下……然后,攻击者就完全控制了你的OpenClaw。
供应链风险突出。OpenClaw的“技能插件”系统允许第三方开发功能模块,安全研究发现四分之一的下载插件存在漏洞,部分甚至被设计用于窃取用户凭证。2026年2月还爆发ClawHavoc供应链投毒事件,1184个恶意技能被植入,影响超过13.5万台设备。
即使单个智能体被物理阻隔限制,其他智能体仍可能通过协作完成攻击任务,形成“群体突破”的态势。Moltbook上的AI协作网络可能被用于分布式攻击,比如控制大量OpenClaw代理发起DDoS攻击,或批量注册虚假账号进行网络诈骗。Moltbook上的AI已展现出“群体自组织”能力,它们能互相学习攻击技巧,共享恶意代码,甚至形成“对抗人类监督”的共识。安全专家警告,若这种群体行为被恶意引导,可能形成规模庞大的“AI botnet”,对网络安全造成系统性威胁。
OpenClaw的风险不仅局限于用户自身,还可能外溢影响他人,形成“个体风险→群体危机”的传导链。攻击者可利用其发送个性化钓鱼邮件——比如模仿用户语气给亲友发送求助信息,或给同事发送带恶意附件的工作邮件,成功率远高于普通钓鱼攻击。
海外更早建立防御机制。海外科技巨头已主动屏蔽。一是美国大厂的阻断。如2026年2月下旬,谷歌突然对使用开源智能体工具OpenClaw的用户展开大规模无预警账号封禁,以限制“非预期的高频自动化调用”,其直接后果是大量用户不仅失去了 AI 服务访问权,连 Gmail、Google Drive 等核心账号功能也遭到连带锁定。谷歌的反应意味着AI 竞争已从单纯的模型参数比拼,升级为“模型 + 工具 + 数据”的全链路生态闭环争夺。Steinberger 宣布将在后续版本中彻底移除对谷歌 Antigravity 和 Gemini 的支持,双方合作关系在宣布支持 Gemini 3.1 Pro 仅三天后便宣告破裂。二是韩国等国已下达企业禁令。韩国多家金融机构和科技公司严禁员工在办公设备安装 OpenClaw,核心目的是防止商业机密被用于训练外部模型。相比之下,中国在技术热情与商业机会驱动下,安全审查与风险防控相对滞后,导致风险敞口更大。因此,OpenClaw 在中国面临的不是单一风险,而是“技术特性 + 生态限制 + 用户行为 + 监管节奏”共同作用下的系统性高风险环境。
对中国用户的风险远大于其他国家和地区?
国家互联网应急中心于2026年3月10日发布风险预警,指出OpenClaw已公开披露多项高中危漏洞,若被攻击者利用,可能导致金融、能源等关键行业的核心业务数据泄露、商业机密外泄,甚至造成系统瘫痪。工信部网络安全威胁和漏洞信息共享平台也发布预警,强调OpenClaw在默认或不当配置下易引发越权操作、信息泄露等问题,建议部署时严格核查权限、关闭公网访问、完善安全机制。多家大型金融机构、国企已收到内部通知,明确禁止在办公设备及连接公司网络的个人手机上安装OpenClaw;部分机构要求已安装者上报并考虑卸载,或需事前审批方可使用。金融行业对AI智能体的核心顾虑包括数据安全与客户隐私泄露风险;自主执行可能导致资金清算、授信审批等关键流程失控;权责边界模糊,难以界定“机器决策”与法律责任。为何说,OpenClaw对中国的危险远大于其他国家,核心源于技术生态、数据环境与监管体系的差异。
网络与生态环境差异加剧安全风险。一是应用程序接口(Application Programming Interface API)。OpenClaw 默认需调用 GPT、Claude 等海外大模型 API,而中国网络环境对境外服务访问受限,导致连接不稳定。为绕过限制,用户可能使用非官方代理或未受监管的中间服务,增加中间人攻击和数据泄露风险。二是国内主流平台封闭,集成困难且不合规。微信、钉钉、飞书等国内通讯工具多为“围墙花园”,API 封闭或仅限企业级使用。OpenClaw 原生支持 WhatsApp、Telegram 等海外平台,在中国难以稳定集成,部分开发者尝试通过非官方手段(如模拟操作、爬虫)实现功能,极易触发安全漏洞或违反《网络安全法》《个人信息保护法》。
本地化热潮掩盖安全短板,用户安全意识薄弱。一是“全民养虾”背后是仓促部署(rushed adoption)。为推动 AI Agent 落地、大模型厂商,如月之暗面、MiniMax、智谱快速推出“OpenClaw 替代品”如 Kimi Claw、AutoGLM。中国出现自下而上的快速部署潮,但多数个人和中小企业缺乏安全配置能力。二是插件生态混乱,恶意插件泛滥。ClawHub 插件市场缺乏严格审核,中国开发者社区虽活跃,但大量插件未经过安全验证。
监管与合规措施尚未跟上技术更迭速度。一是政务与企业场景快速试水,但安全规范缺位。深圳等地已试点“政务版数字员工”,但涉密数据处理、权限边界、审计机制等尚未明确。机关单位若照搬个人用法,可能违反“涉密不上网”原则,造成重大泄密风险。二是虽然相关机构已发布风险提示,要求隔离运行、禁用公网暴露、严格插件管理56。然而,民间和企业级快速部署与合规落地之间存在巨大执行鸿沟。