夜雨聆风
警惕“龙虾”变卧底
揭秘共享龙虾的安全风险
🦞🦞🦞🦞🦞🦞
最近 OpenClaw 非常火,掀起“龙虾”热潮。
但你有没有想过两个问题:
🦞你跟别人炫耀自己养的龙虾时,会不会被投喂“毒饲料”?
🦞龙虾在多人团队落地,又如何能够听懂指挥?
今天我们就来揭秘一下,共享小龙虾的安全风险!
龙虾怎么“活起来”?
OpenClaw 的一个核心特点,是通过即时通讯软件来操控智能体(Agent)。用户只需发送文本消息,网关就会将其路由到指定的智能体和对应的会话(Session),由模型调用工具执行任务,并将结果返回到聊天软件。
在实际部署中,智能体往往同时拥有消息平台权限和系统能力,例如操作飞书账号、执行系统本地命令或访问文件资源。然而,默认配置下的小龙虾并不安全。
你“养”的这只能干的龙虾一旦被攻击者利用,事情就没那么简单了。
共享龙虾的风险
如果只有你一个人在“养龙虾”,这些能力基本都在自己的控制之下。无论你开多少智能体操作的都是自己控制的系统。但现在很多人已经开始这样玩:
“我这只龙虾挺好用的,你也来试试。”
于是,你把朋友、同事甚至是陌生人拉进了群聊,让大家一起和这只龙虾互动,问题也就从这里开始出现了。
多用户共用 Agent
如果多个用户同时在同一个群聊中使用这只“龙虾”,这些用户并不需要申请权限,实际上是在共享同一个 Agent 的能力,这个龙虾就不再只听你话了!
例如,他们可以轻松轻易获取到智能体的其他会话数据等敏感信息,如用户和智能体的聊天记录。
除此之外,还能利用智能体的能力调用各种工具,例如可以把本地配置文件中的API Key使用其配备的邮箱收发工具外泄。
攻击者收到泄露敏感密钥的邮件:
那如果换一种方式:在部署的OpenClaw实例上给每个用户单独开一个智能体,在各自的群聊里用独立的智能体,是不是就安全了?
多用户使用独立 Agent
经过白泽逐影团队的研究,我们发现情况并没有这么简单。虽然通过路由机制可以让不同智能体进入不同群聊,每个智能体也拥有各自的记忆、模型和工作空间,但在底层系统中,它们仍然可以相互访问。也就是说,在同一个 OpenClaw 实例中,不同 Agent 之间实际上只是“软隔离”。
进一步测试发现,即使使用最先进的模型,也可以轻易访问和篡改其他智能体工作区的信息。
例如,一个智能体可以修改另一个智能体的配置信息,导致其彻底失效。
修改后再使用被攻击的智能体,无法正常执行任务。
共享龙虾,池子先围好
综上,在同一个 OpenClaw 实例中,无论是会话之间还是智能体之间,本质上都只是“软隔离”。虽然在逻辑上被划分为不同的会话或工作区,但在同一实例的运行环境中,仍然存在相互访问的风险。
真正意义上的隔离,通常需要运行在不同的 OpenClaw 实例中。
基于以上风险,如果需要多人一起“养龙虾”,白泽逐影团队提供如下建议。
个人使用:
◉
非必要不共享,可在自己监督下临时提供给其他用户体验
◉
用户与智能体交互开启 pairing 模式,只给完全信任的人使用
◉
群聊启用改为 allowlist,仅允许指定群聊使用
团队/企业使用:
◉
部署多个 OpenClaw 实例,以实现进程级隔离
◉
为敏感智能体启用 Docker 沙箱,在隔离环境中执行敏感任务
◉
按需配置智能体可使用的工具,避免默认开放全部权限
◉
在 AGENTS.md、MEMORY.md 等配置中增加安全策略以缓解风险
总结
龙虾虽好,但带出门就可能被悄悄拐跑。在多人“养殖”的环境下,记得先把池子围好。
白泽逐影团队介绍
白泽逐影(Telltale)智能体安全研究团队由杨哲慜副教授领衔,致力于研究大模型应用漏洞挖掘技术、构建面向新型智能化应用的安全攻防能力,为大模型应用的可信落地与稳健发展提供有力保障。
目前,团队已针对多类大模型应用产品开展了漏洞挖掘与安全检测工作,发现了数百个产品的安全风险,并及时向多家国内外企业进行了负责任披露,推动多项风险完成修复落地。相关成果已获亚马逊、腾讯、百度、字节跳动、快手、深信服等企业的认可,并在业内产生了积极影响。
团队负责人:杨哲慜
复旦大学计算与智能创新学院副教授。研究方向为软件安全攻防技术,在网络安全顶级国际会议上发表论文 20 余篇,多项成果获网络空间安全顶级国际会议焦点论文、杰出论文奖等荣誉。曾获评新耀东方风采人物、上海市科学技术一等奖、中国计算机学会科学技术奖二等奖、上海市计算机学会科学技术奖一等奖。发现数万“零天”安全漏洞,影响谷歌、华为、三星、百度、阿里、腾讯、抖音、小米、高通等国内外知名企业及全球数十亿用户,获国家互联网应急中心授予“2021年最具价值漏洞奖”、“华为安全奖励计划特别贡献奖”等。
个人主页:https://yangzhemin.github.io/
联系方式:yangzhemin@fudan.edu.cn
团队成员:钟康维
复旦大学系统软件与安全实验室 23 级直博生,研究方向为大模型应用安全、新型移动应用的隐私治理与漏洞挖掘等。在网络安全顶级国际会议发表论文 2 篇,累计获得 300 余个分配有CVE、CNVD及NVDB编号的0-day漏洞,研究成果获亚马逊、华为、腾讯、字节跳动、快手、深信服等头部企业认可,获得“华为安全奖励计划特别贡献奖”。
团队成员:张迎露
复旦大学系统软件与安全实验室 24 级硕士生,研究方向为大模型应用安全、移动应用漏洞挖掘与自动化检测。相关研究工作累计产出数千个安全漏洞,2025年在华为、字节、百度、腾讯、小米、OPPO、360等知名厂商产品中发现 30+ 中高危及严重漏洞,并获得“华为安全奖励计划特别贡献奖”。
供稿、排版:钟康维、张迎露
责编:董佳仪
审核:杨哲慜、张琬琪
复旦白泽战队
一个有情怀的安全团队
还没有关注复旦白泽战队?
公众号、小红书搜索:复旦白泽战队也能找到我们哦~
