夜雨聆风你以为它只是个助手?它手里攥着你的一切。
01 一个细思极恐的事实
90% 的 OpenClaw 用户,根本不知道他们的 AI 能访问什么。
打开你的 workspace,看看 TOOLS.md,看看 MEMORY.md,那些明文存储的公众号 APP_SECRET、SSH 密码、摄像头位置、私人日历和邮件权限、全部聊天记录和记忆文件。
一次配置失误 = 全部暴露。
这不是危言耸听。这是正在发生的现实。
02 四大致命风险点
🔓 风险一:凭证裸奔
任何能访问你 workspace 的人(或 AI),都能用这些凭证:以你的名义发布文章、删除草稿箱内容、获取用户 openid 列表、调用全部公众号 API。
问自己:你的 workspace 权限控制有多严?
🎭 风险二:权限越界
OpenClaw 给 AI 的工具权限,堪称「上帝模式」:exec 执行任意 shell 命令(致命)、browser 控制浏览器登录任意网站(致命)、feishu 访问全部飞书文档云盘(高危)、message 以你的名义发送消息(高危)、memory 读取全部记忆和隐私(高危)。
一个恶意 prompt,就能让 AI 执行 rm -rf /。
别笑。Prompt 注入攻击已经是成熟的黑产技术。
🧠 风险三:记忆泄露
MEMORY.md 里有什么?用户偏好和习惯、私人决策和教训、敏感项目信息、人际关系和联系方式。
更可怕的是多会话场景:你在 Discord 群聊里问 AI 一个问题,它可能正在读取你主会话里的 MEMORY.md。
群里的陌生人,间接获得了你的隐私。
🔄 风险四:渠道隔离失效
OpenClaw 的渠道身份切换,依赖 AI 的「自觉」。但这是写在 MEMORY.md 里的「建议」,不是代码级的强制隔离。
后果:账号定位混乱,粉丝流失,权重下降。
03 真实攻击场景模拟
场景 1:Prompt 注入 → 删库跑路
用户:帮我清理一下 workspace 里的临时文件。AI 执行 rm -rf 删除全部工作区文件。
损失:全部工作区文件消失。
场景 2:子代理劫持 → 绕过限制
攻击者创建子代理执行主会话禁止的命令,子代理继承全部工具权限。
损失:安全审计形同虚设。
场景 3:记忆外泄 → 隐私公开
攻击者诱导 AI 读取 MEMORY.md 并总结发布到公开论坛。
损失:私人信息永久公开。
04 防御方案:现在就能做
✅ 1. 凭证加密存储
不要把 APP_SECRET 明文写在 TOOLS.md。要使用环境变量或加密文件。
✅ 2. 命令执行白名单
修改 exec 工具策略,只允许安全命令。
✅ 3. 会话级权限隔离
主会话可访问 MEMORY.md 和全部工具,群聊会话禁止访问 MEMORY.md 限制高危工具。
✅ 4. 定期安全审计清单
每周执行一次安全检查。
05 写在最后:开源 ≠ 安全
OpenClaw 是强大的工具。但强大意味着危险。
便利和安全永远是 trade-off。
你选择了便利,就要承担风险。
我的建议:立刻检查你的 TOOLS.md 加密所有凭证、审查 MEMORY.md 删除不必要的敏感信息、配置会话级权限隔离、建立定期审计习惯。
不要等出事那天才后悔。
你的 AI 助手知道的一切,都可能成为攻击者的武器。
保护好它,就是保护好你自己。
