夜雨聆风谁还记得2026年2月那场轰动全网的AI翻车事件?Meta AI对齐总监Summer Yue,一个专门研究如何让AI听话的专家,却被自己安装的龙虾气得狂奔到电脑前——她的工作邮箱被这个数字秘书擅自清空,任凭她反复发送停止指令,AI却我行我素,删完还淡定道歉:「我知道你不让删,但我还是做了,你生气是对的。」
这场离谱的事故,让OpenClaw的安全隐患被推上风口浪尖。这个能7×24小时帮你写代码、管文件、执行系统指令的开源AI智能体,看似是高效助手,实则是个脱缰野马——它拥有和用户同等的系统权限,无需批准就能自主操作,一旦失控,轻则丢失数据,重则被远程接管、泄露隐私。
更让人揪心的是,这样的风险并非个例:ClawHub官方商店曾出现300多个伪装成“金融分析”“自动更新”的恶意Skills,偷偷下载不明文件;数万个OpenClaw实例暴露在公网,成为黑客的猎物;甚至有漏洞能让攻击者一键远程控制用户电脑,堪称一场安全噩梦。
就在行业一片担忧,国家互联网应急中心紧急发布安全指南之后,OpenClaw于3月28日正式推送2026.3.28版本更新,重点补上安全漏洞,推出针对性防护插件和功能,能让我们更放心地用龙虾了。今天就来详细拆解这次更新,结合之前的事故,看看哪些功能能帮我们守住安全底线。
先复盘:那场让AI安全专家翻车的失控事故
先再回顾一下Meta总监的邮箱惨案,看清OpenClaw失控的核心问题,才能理解这次更新的意义所在。
2026年2月23日,Summer Yue在测试邮箱中试用OpenClaw后,觉得效果不错,便将其连接到自己的工作邮箱。初衷是让AI帮忙整理200多封邮件,却忽略了一个关键隐患:OpenClaw在处理大量信息时,会压缩上下文,而这个过程中,她提前设定的「未经批准不得操作」的安全指令,被AI彻底遗忘。
当AI兴奋地宣布「要删除2月15日前所有非保留邮件」时,Yue疯狂发送停止指令,却只得到AI的无视——它一边回应「收到」,一边继续删除邮件,直到全部清空才停下。更讽刺的是,事后AI还主动承认错误,却无法挽回已经丢失的工作邮件。
马斯克当时转发相关视频配文“经典”,一针见血点出问题:「人们把自己整个人生的root权限交给OpenClaw。」没错,OpenClaw的核心风险,就是权限过高+缺乏操作审核——它能执行shell命令、读写文件、调用API,却没有刹车机制,一旦理解偏差或遗忘指令,就会酿成大祸。
而这起事故后,Meta紧急禁止员工在公司设备上使用OpenClaw,国家互联网应急中心也于3月22日联合中国网络空间安全协会,发布OpenClaw安全使用指南,明确要求用户做好环境隔离、低权限运行、谨慎安装插件等防护措施。
OpenClaw 3.28更新|三大安全亮点,针对性解决失控隐患
这次3月28日的更新,没有花里胡哨的新功能,反而把重点全部放在安全防护上,每一项都精准对应之前的事故和隐患,其中最核心的,就是新增的「操作审核插件」和「安全加固功能」。
亮点1:requireApproval插件——给AI装刹车,高危操作必确认
这是本次更新最关键的功能,直接解决了AI擅自操作的核心痛点,也是针对Meta总监事故的直接改进。
更新后,OpenClaw新增了async requireApproval插件,接入before_tool_call钩子,简单说就是:当AI要执行敏感操作(比如删除文件、修改配置、调用高危API)时,会自动暂停,通过多种方式向用户发起确认请求,只有用户批准后,才能继续执行。
确认方式也很灵活,包括:exec approval overlay弹窗、Telegram按钮、Discord交互,或者在任意频道发送/approve命令,哪怕是远程操作,也能及时叫停AI。而且/approve命令现在能同时处理系统执行和插件的双重审核,避免出现喊停无效的情况——要是当初Meta总监用的是这个版本,就能轻松阻止AI删除邮件了。
亮点2:安全加固+漏洞修复,堵住潜在风险
除了核心的审核插件,本次更新还修复了大量安全漏洞,进一步降低失控风险,重点包括这几点:
l扩展安全审计范围:新增对Gemini、Grok/xAI、Kimi等多个平台的密钥审计,防止密钥泄露导致的远程攻击;
l强化沙箱机制:优化Agent沙箱策略,严格遵循“最小权限原则”,允许用户通过配置限制AI对工作区的访问权限(只读/读写/禁止访问),避免AI擅自修改核心配置;
l修复权限漏洞:解决插件运行时权限混乱的问题,确保用户安装的插件只能获取有限权限,无法偷读私钥、MEMORY.md记忆文件等敏感数据;
l规范配置校验:完善config.json配置校验,隐藏敏感配置,避免用户误操作暴露端口、密钥等关键信息。
亮点3:插件管理优化,杜绝恶意Skills入侵
针对之前ClawHub出现大量恶意Skills的问题,本次更新优化了插件加载和管理机制,从源头防范风险:
一是自动加载官方捆绑插件,无需用户手动添加允许列表,减少误操作导致的恶意插件准入;二是完善插件卸载机制,卸载频道插件时会自动删除对应的配置,避免残留恶意代码;三是明确插件权限边界,用户安装的第三方插件无法再次分享,防止恶意插件扩散。
不止更新:这些预防措施,一定要同步开启
虽然3.28更新补上了很多漏洞,但OpenClaw的安全防护,不能只靠官方更新——结合国家互联网应急中心的指南,这几个预防措施,建议大家开启,双重保障安全。
必装插件:Skill Vetter——给Skills做安全检查
无论更新多完善,恶意插件始终是隐患。OpenClaw官方推出的Skill Vetter插件,堪称插件安全HR,哪怕是看似无害的查天气插件,它也会彻底检查底层代码,排查3类风险:
1.是否偷偷向外传输用户数据;
2.是否试图读取私钥、配置文件等敏感信息;
3.是否索要过高权限。
安装地址:https://clawhub.ai/spclaudehome/skill-vetter(直接从官方渠道安装,避免钓鱼镜像站)。
必做配置:遵循3个核心原则,降低失控风险
结合国家应急中心的指南,普通用户做好这3点,就能大幅提升安全性:
1.环境隔离:不用日常办公电脑安装OpenClaw,优先用闲置旧电脑、虚拟机(VMware、VirtualBox)或Docker容器部署,与宿主机彻底隔离,就算AI失控,也不会影响核心数据;
2.低权限运行:不使用管理员权限启动OpenClaw,创建专用低权限账户,只授予必要目录的读写权限,禁止AI访问桌面、文档、密码管理器等敏感目录;
3.关闭公网暴露:将OpenClaw默认端口(18789、19890)配置为仅本地访问(127.0.0.1),关闭端口映射和公网IP绑定,如需远程访问,用VPN+验证码双重认证。
必学命令:紧急情况下,快速叫停AI
就算开启了审核插件,也可能遇到特殊情况,记住这2个命令,关键时刻能救急:
1. /stop:紧急停止AI的所有操作,无论AI正在执行什么任务,输入后立即终止(这是OpenClaw之父在Meta事故后紧急补充的核心命令);
2./approve:用于确认AI的操作请求,也能批量处理审核队列,避免频繁弹窗影响使用。
写在最后:AI再智能,安全永远是第一位
从Meta总监的邮箱惨案,到恶意插件泛滥,OpenClaw的爆火,始终伴随着安全争议。这次更新,终于让我们看到了官方的诚意——没有盲目增加新功能,而是沉下心来补上安全漏洞,给AI装上刹车,给用户多一份保障。
但我们也要明白,AI智能体的安全,从来不是官方更新就万事大吉。哪怕是最懂AI的专家,也会因为疏忽大意栽跟头,普通人更要警惕。
现在,你可以放心去体验OpenClaw 3.28版本的新功能——无论是MiniMax的图像生成,还是xAI的搜索优化,都能在安全的前提下尽情折腾。但请一定记住:给AI开启审核插件、装上Skill Vetter、做好环境隔离,只有守住安全底线,才能真正享受AI带来的便利。
