乐于分享
好东西不私藏
夜雨聆风 > > 办公文件 > 警惕“龙虾”变卧底!OpenClaw竟成突破隔离边界的致命杀手

警惕“龙虾”变卧底!OpenClaw竟成突破隔离边界的致命杀手

当前时间: 2026-03-18 14:07:00 分类:办公文件 评论(0)
警惕“龙虾”变卧底!OpenClaw竟成突破隔离边界的致命杀手

警惕“龙虾”变卧底

揭秘共享龙虾的安全风险

🦞🦞🦞🦞🦞🦞

最近 OpenClaw 非常火,掀起“龙虾”热潮。

但你有没有想过两个问题:

🦞你跟别人炫耀自己养的龙虾时,会不会被投喂“毒饲料”?

🦞龙虾在多人团队落地,又如何能够听懂指挥?

今天我们就来揭秘一下,共享小龙虾的安全风险!

   龙虾怎么“活起来”?

OpenClaw 的一个核心特点,是通过即时通讯软件来操控智能体(Agent)。用户只需发送文本消息,网关就会将其路由到指定的智能体和对应的会话(Session),由模型调用工具执行任务,并将结果返回到聊天软件。

在实际部署中,智能体往往同时拥有消息平台权限和系统能力,例如操作飞书账号、执行系统本地命令或访问文件资源。然而,默认配置下的小龙虾并不安全。

      你“养”的这只能干的龙虾一旦被攻击者利用,事情就没那么简单了。

    共享龙虾的风险

如果只有你一个人在“养龙虾”,这些能力基本都在自己的控制之下。无论你开多少智能体操作的都是自己控制的系统。但现在很多人已经开始这样玩:

“我这只龙虾挺好用的,你也来试试。”

于是,你把朋友、同事甚至是陌生人拉进了群聊,让大家一起和这只龙虾互动,问题也就从这里开始出现了。

多用户共用 Agent

如果多个用户同时在同一个群聊中使用这只“龙虾”,这些用户并不需要申请权限,实际上是在共享同一个 Agent 的能力,这个龙虾就不再只听你话

例如,他们可以轻松轻易获取到智能体的其他会话数据等敏感信息,如用户和智能体的聊天记录。

除此之外,还能利用智能体的能力调用各种工具,例如可以把本地配置文件中的API Key使用其配备的邮箱收发工具外泄。

攻击者收到泄露敏感密钥的邮件:

那如果换一种方式:在部署的OpenClaw实例上给每个用户单独开一个智能体,在各自的群聊里用独立的智能体,是不是就安全了?

多用户使用独立 Agent

经过白泽逐影团队的研究,我们发现情况并没有这么简单。虽然通过路由机制可以让不同智能体进入不同群聊,每个智能体也拥有各自的记忆、模型和工作空间,但在底层系统中,它们仍然可以相互访问。也就是说,在同一个 OpenClaw 实例中,不同 Agent 之间实际上只是“软隔离”

进一步测试发现,即使使用最先进的模型,也可以轻易访问和篡改其他智能体工作区的信息。

例如,一个智能体可以修改另一个智能体的配置信息,导致其彻底失效。

修改后再使用被攻击的智能体,无法正常执行任务。

  共享龙虾,池子先围好

综上,在同一个 OpenClaw 实例中,无论是会话之间还是智能体之间,本质上都只是“软隔离”。虽然在逻辑上被划分为不同的会话或工作区,但在同一实例的运行环境中,仍然存在相互访问的风险。

真正意义上的隔离,通常需要运行在不同的 OpenClaw 实例中。

基于以上风险,如果需要多人一起“养龙虾”,白泽逐影团队提供如下建议。

个人使用:

非必要不共享,可在自己监督下临时提供给其他用户体验

用户与智能体交互开启 pairing 模式,只给完全信任的人使用

群聊启用改为 allowlist,仅允许指定群聊使用

团队/企业使用:

部署多个 OpenClaw 实例,以实现进程级隔离

为敏感智能体启用 Docker 沙箱,在隔离环境中执行敏感任务

按需配置智能体可使用的工具,避免默认开放全部权限

在 AGENTS.md、MEMORY.md 等配置中增加安全策略以缓解风险

总结

龙虾虽好,但带出门就可能被悄悄拐跑。在多人“养殖”的环境下,记得先把池子围好。

白泽逐影团队介绍

白泽逐影(Telltale)智能体安全研究团队由杨哲慜副教授领衔,致力于研究大模型应用漏洞挖掘技术、构建面向新型智能化应用的安全攻防能力,为大模型应用的可信落地与稳健发展提供有力保障。

目前,团队已针对多类大模型应用产品开展了漏洞挖掘与安全检测工作,发现了数百个产品的安全风险,并及时向多家国内外企业进行了负责任披露,推动多项风险完成修复落地。相关成果已获亚马逊、腾讯、百度、字节跳动、快手、深信服等企业的认可,并在业内产生了积极影响。

团队负责人:杨哲慜

复旦大学计算与智能创新学院副教授。研究方向为软件安全攻防技术,在网络安全顶级国际会议上发表论文 20 余篇,多项成果获网络空间安全顶级国际会议焦点论文、杰出论文奖等荣誉。曾获评新耀东方风采人物、上海市科学技术一等奖、中国计算机学会科学技术奖二等奖、上海市计算机学会科学技术奖一等奖。发现数万“零天”安全漏洞,影响谷歌、华为、三星、百度、阿里、腾讯、抖音、小米、高通等国内外知名企业及全球数十亿用户,获国家互联网应急中心授予“2021年最具价值漏洞奖”、“华为安全奖励计划特别贡献奖”等。

个人主页:https://yangzhemin.github.io/

联系方式:yangzhemin@fudan.edu.cn

团队成员:钟康维

复旦大学系统软件与安全实验室 23 级直博生,研究方向为大模型应用安全、新型移动应用的隐私治理与漏洞挖掘等。在网络安全顶级国际会议发表论文 2 篇,累计获得 300 余个分配有CVE、CNVD及NVDB编号的0-day漏洞,研究成果获亚马逊、华为、腾讯、字节跳动、快手、深信服等头部企业认可,获得“华为安全奖励计划特别贡献奖”。

团队成员:张迎露

复旦大学系统软件与安全实验室 24 级硕士生,研究方向为大模型应用安全、移动应用漏洞挖掘与自动化检测。相关研究工作累计产出数千个安全漏洞,2025年在华为、字节、百度、腾讯、小米、OPPO、360等知名厂商产品中发现 30+ 中高危及严重漏洞,并获得“华为安全奖励计划特别贡献奖”。

供稿、排版:钟康维、张迎露

责编:董佳仪

审核:杨哲慜、张琬琪

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队?

公众号、小红书搜索:复旦白泽战队也能找到我们哦~