OpenClaw是史上普及速度最快的软件,但它也存在安全盲点

OpenClaw 已经在企业内部运行，而且往往不为人知。了解为什么禁止它行不通，以及首席信息安全官 (CISO) 如何转向以数据为中心的 AI 治理。

OpenClaw 是一款开源 AI 代理，可在本地笔记本电脑上运行。安装它无需管理员权限。它不会连接到中央服务器，因此不会被网络监控系统检测到。

它通过标准集成连接到电子邮件、Slack、Teams、WhatsApp、日历、开发者工具和文件系统。此外，它还具有持久内存，这意味着它可以跨会话累积访问权限和上下文信息。

当黄仁勋站在英伟达GTC 2026大会的讲台上，称OpenClaw是“有史以来最重要的软件发布”时，他并非在做出预测，而是在描述已经发生的事情。

OpenClaw在短短三周内就超越了Linux三十年的普及率曲线，成为GitHub历史上下载量最高的开源项目。

这是规模完全不同的影子IT。

过去十年，安全团队一直在制定应对影子IT的策略。员工采用新的SaaS工具后，有人发现，该工具会被评估，最终要么被允许使用，要么被封禁。整个过程耗时数周甚至数月，而且影响范围通常仅限于该特定应用程序内的数据。

影子人工智能代理以三种方式打破了该模型。

访问权限的范围从根本上就不同。影子SaaS工具拥有自己的数据孤岛。而影子AI代理则连接到员工可以访问的所有资源——电子邮件、文件共享、日历、即时通讯平台和开发者工具。

它并非一个新的孤岛，而是现有孤岛的全新补充。

持久性有所不同。SaaS 工具的会话会在浏览器关闭时结束。而 OpenClaw 代理则持续运行，并在会话间构建持久记忆。它每天运行，都会积累更多上下文信息、访问模式和组织知识。如果该代理被攻破，攻击者就能获取所有这些信息。

可见性有所不同。端点安全系统可以看到正在运行的进程，但无法理解代理的行为。网络监控系统可以看到 API 调用，但无法区分合法的代理自动化操作和执行攻击者指令的被入侵代理。身份系统可以看到 OAuth 授权，但不会将 AI 代理连接标记为异常。传统的安全工具几乎无法识别此类风险。

OpenClaw 在病毒式传播几周后，CrowdStrike 发布了一份详细的风险分析报告，并通过 Falcon for IT 发布了一套企业级搜索和清除工具包。

微软安全团队也发布指南，建议将 OpenClaw 视为“具有持久凭据的不受信任代码执行程序”，并仅部署在完全隔离的环境中。

思科以 OpenClaw 作为人工智能代理安全风险的主要案例研究对象，称其从安全角度来看“简直是一场噩梦”。

Sophos 将其归类为潜在有害应用程序，并发布了检测特征码。趋势科技发表了一篇研究报告，详细阐述了 OpenClaw 的架构特性如何使其在企业环境中既实用又危险。

不同安全厂商之间这种程度的协同应对并非源于假设性的担忧，而是因为威胁真实存在，并且传播速度远超传统安全措施的控制能力。

Bitsight 的研究人员发现，超过 3 万个 OpenClaw 实例暴露在公共互联网上，泄露了 API 密钥、聊天记录和账户凭证。

Koi Security 发现，OpenClaw 的公共市场 ClawHub 上 12% 的技能已被证实为恶意技能，这些技能会在 Windows 系统上传播键盘记录器，在 macOS 系统上传播 Atomic Stealer 恶意软件。

Moltbook 平台是一个为人工智能代理构建的社交网络，该平台被发现有一个不安全的数据库，泄露了 35,000 个电子邮件地址和 150 万个代理 API 令牌。

与此同时，七个CVE漏洞接连曝光，涵盖了一键远程代码执行、命令注入、SSRF、身份验证绕过和路径遍历等多种攻击手段。其中最严重的漏洞，攻击链可在受害者访问单个恶意网页后的几毫秒内生效。

这些并非少数开发者使用的小众工具的漏洞。这是全球最流行的开源项目，运行在各行各业员工的电脑上，连接到包含您最敏感数据的企业系统。

禁令行不通，治理才行得通。

许多安全团队的第一反应是禁用 OpenClaw。

以前也见过类似的情况，比如云计算、移动设备，以及员工在IT部门准备不足的情况下使用的其他所有技术。禁令并不能消除这些技术，它只会让你无法了解这些技术。

运行 OpenClaw 的员工并非出于恶意。他们这样做是因为它每天能帮他们节省数小时的工作时间。即使公司管理的设备上禁止使用 OpenClaw，他们也会在连接到同一邮箱和同一 Slack 工作区的个人笔记本电脑上运行它。这种提高工作效率的诱惑力太强，禁令根本无法奏效。

行之有效的方法与最终在云端和移动端取得成功的方法相同：不要试图控制代理程序，而是控制代理程序可以访问的数据。

这意味着在数据层进行管理，独立于代理、模型和设备。

代理人对敏感数据的每一次请求都应进行身份验证——不仅要验证代理人的身份，还要验证授权人的身份。访问权限的评估应依据相关策略，这些策略应考虑数据的分类、请求的目的以及具体的操作。数据应使用经过验证的加密技术进行加密。

此外，每一次交互都应记录在案，以便安全运营团队可以监控，合规团队可以按需生成记录。

Kiteworks 2026 年预测报告发现，57% 的组织缺乏集中式的 AI 数据治理门户。这一差距既是机遇，也是风险。弥合这一差距，您将成为安全推动 AI 部署的首席信息安全官 (CISO)。放任不管，您将成为错失组织历史上最大规模影子部署的 CISO。

首席信息安全官的真正 OpenClaw 策略

那些在这方面做得好的组织，对待人工智能代理的治理方式与对待员工入职的方式相同。他们并非试图让代理更智能或模型更安全，而是管控代理可以接触哪些内容、遵循哪些规则以及需要哪些证据支持。

这是首席信息安全官（CISO）的问题，而不是数据科学的问题。能够解决这个问题——构建治理层，确保人工智能安全应用——的CISO，才能在人工智能战略制定中占有一席之地。那些只会说“不”的CISO，将会被边缘化，就像他们在云计算和移动技术发展初期那样。

黄仁勋要求每家公司都制定 OpenClaw 战略。你们的员工其实已经这么做了。问题在于，你们是会规范管理，还是会假装它不存在。

新闻链接：

https://www.techrepublic.com/article/news-openclaw-shadow-ai-agents-enterprise-security-risks/

伊朗黑客利用被入侵的摄像头进行区域监控

https://gbhackers.com/compromised-cameras/

疑似曹县威胁组织Konni 通过网络钓鱼部署 EndRAT，并利用 KakaoTalk 传播恶意软件

https://thehackernews.com/2026/03/konni-deploys-endrat-through-spear.html

伊朗Handala黑客利用RDP和NetBird进行协同擦除攻击

https://gbhackers.com/coordinated-wiper-attacks/

与俄罗斯关联的APT组织利用 DRILLAPP 后门程序监视乌克兰

https://securityaffairs.com/189519/malware/russia-linked-apt-uses-drillapp-backdoor-to-spy-on-ukrainian-targets.html

黑客利用Claude漏洞攻击多个墨西哥政府机构

https://www.cysecurity.news/2026/03/hackers-exploit-claude-to-target.html

黑客利用伪装成战争新闻的后门攻击卡塔尔

https://hackread.com/china-hackers-qatar-backdoor-fake-war-news/

APT28 使用定制恶意软件对乌克兰军队进行长期间谍活动

https://securityaffairs.com/189230/apt/apt28-conducts-long-term-espionage-on-ukrainian-forces-using-custom-malware.html

中东地区的电子战攻击对货运物流和地图应用造成严重干扰

https://www.wired.com/story/gps-attacks-near-iran-are-wreaking-havoc-on-delivery-and-mapping-apps/

Lazarus Hackers 利用虚假 LinkedIn 面试攻击 AllSecure CEO

https://hackread.com/fake-linkedin-interview-lazarus-hackers-allsecure-ceo/

黑客利用 AppleChris 和 MemFun 恶意软件攻击东南亚军方

https://thehackernews.com/2026/03/chinese-hackers-target-southeast-asian.html

GitGuardian报告称，人工智能服务泄露事件激增81%，2900万个密钥泄露至公共GitHub

https://hackread.com/gitguardian-reports-an-81-surge-of-ai-service-leaks-as-29m-secrets-hit-public-github/

ClickFix 攻击利用伪造的 Claude 工具，以 MacSync 恶意软件攻击开发者

https://hackread.com/clickfix-attack-devs-macsync-malware-fake-claude-tools/

机器人手术巨头Intuitive披露遭遇网络攻击

https://www.securityweek.com/robotic-surgery-giant-intuitive-discloses-cyberattack/

RondoDox僵尸网络扩大攻击范围

https://securityaffairs.com/189569/malware/rondodox-botnet-expands-arsenal-targeting-174-flaws-and-hits-15000-daily-exploit-attempts.html

研究人员发现微软 Copilot 中隐藏的新型网络钓鱼风险

https://www.techrepublic.com/article/news-microsoft-copilot-prompt-injection-phishing-risk/

Storm-2561 犯罪团伙使用伪造的 Fortinet 和 Ivanti VPN 网站投放 Hyrax 信息窃取程序

https://hackread.com/storm-2561-fake-fortinet-ivanti-vpn-sites-hyrax-infostealer/

简单的自定义字体渲染可能会毒害 ChatGPT、Claude、Gemini 和其他人工智能系统

https://cybersecuritynews.com/custom-font-poison-ai-systems/

攻击者利用搜索引擎优化和签名木马窃取VPN凭证

https://cybersecuritynews.com/attackers-use-seo-poisoning-and-signed-trojans/

AWS Bedrock AgentCore 沙箱绕过允许隐蔽 C2 通道和数据泄露

https://cybersecuritynews.com/aws-bedrock-agentcore-sandbox-bypass/

GlassWorm恶意软件攻击了GitHub、npm、VSCode和OpenVSX上的400多个代码库

https://www.bleepingcomputer.com/news/security/glassworm-malware-hits-400-plus-code-repos-on-github-npm-vscode-openvsx/

新型 CondiBot 变种和“摩纳哥”挖矿程序瞄准更多网络设备

https://gbhackers.com/condibot-variant-and-monaco/

假冒Pudgy World网站窃取加密货币密码

https://www.malwarebytes.com/blog/scams/2026/03/fake-pudgy-world-site-steals-your-crypto-passwords

OpenClaw是史上普及速度最快的软件，但它也存在安全盲点

https://www.techrepublic.com/article/news-openclaw-shadow-ai-agents-enterprise-security-risks/

Angular XSS漏洞使数千个Web应用程序面临XSS攻击风险

https://cybersecuritynews.com/angular-xss-vulnerability-xss-attacks/

Kubernetes CSI驱动程序存在NFS漏洞，攻击者可利用该漏洞删除或修改NFS服务器目录

https://cybersecuritynews.com/kubernetes-csi-driver-nfs-vulnerability/

CISA 标记 Wing FTP 漏洞已被积极利用，导致服务器路径泄露

https://thehackernews.com/2026/03/cisa-flags-actively-exploited-wing-ftp.html

谷歌修复了两个已被积极利用的Chrome零日漏洞

https://www.ghacks.net/2026/03/16/google-patches-two-chrome-zero-day-vulnerabilities-exploited-in-active-attacks/

OpenClaw AI 代理在间接提示注入攻击中泄露敏感数据

https://cybersecuritynews.com/openclaw-ai-agents-leak-sensitive-data/

8.75亿部安卓手机因联发科芯片的缺陷面临风险

https://www.techrepublic.com/article/news-android-chip-flaw-875m/