夜雨聆风
2026年初,一款名为OpenClaw的开源AI智能体在全球科技圈异军突起,凭借“让AI替你动手”的能力迅速斩获数十万GitHub星标,被业界比作“AI时代的Linux”。然而,当全球用户为这只“数字龙虾”的魔力欢呼时,一场关于数据安全的全球性警报也在同步拉响。
从AI“对话”到AI“行动”,技术的跨越式进化往往伴随着意想不到的“裂口”。2026年初,一款名为OpenClaw的开源AI智能体在全球科技圈异军突起,凭借“让AI替你动手”的能力迅速斩获数十万GitHub星标,被业界比作“AI时代的Linux”。
然而,当全球用户为这只“数字龙虾”的魔力欢呼时,一场关于数据安全的全球性警报也在同步拉响。从技术架构的先天缺陷,到黑色产业链的闻风而动,再到各国监管体系的紧急补位,OpenClaw所引发的连锁反应,正成为观察“行动型AI”时代安全治理的一面棱镜。
失控的进化:从“对话助手”到“脱缰员工”
OpenClaw之所以能够掀起这场技术狂潮,核心在于其突破性的自主执行能力。与ChatGPT等传统对话式AI不同,OpenClaw被授权访问本地文件系统、读取环境变量、调用外部API乃至安装扩展功能,能够在用户指令下完成邮件发送、数据整理、代码编写等复杂任务。然而,正是这种从“动嘴”到“动手”的进化,恰恰打开了潘多拉的魔盒。
“其开放性与高权限特性,使其成为网络安全领域不容忽视的焦点,暴露出一系列亟待解决的安全风险。”作为我国人工智能领域的专家学者,浙江大学光华法学院求是特聘教授熊明辉一直在关注着OpenClaw。
从安全设计层面审视,OpenClaw的架构存在“层层皆可破”的系统性缺陷。根据国家网络与信息安全信息通报中心的分析,该产品采用多层架构设计,但每一层都暴露出严重的安全短板:IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可通过多轮对话篡改AI行为模式,执行层因与操作系统直接交互而面临被完全控制的风险,产品生态层则充斥着被投毒的恶意技能插件。这种“层层失守”的设计,使得原本应当服务于用户的数字助手,随时可能沦为攻击者的“特洛伊木马”。
更令人触目惊心的是其默认配置的安全脆弱性。OpenClaw默认绑定0.0.0.0:18789地址,允许所有外部IP地址访问,远程操作甚至无需账号认证,API密钥和聊天记录等敏感信息均以明文形式存储。据网络安全机构扫描,全球暴露在公网的OpenClaw部署实例中,高达85%处于这种“裸奔”状态,这无异于为全球黑客敞开了一扇数字大门。
“恶意行为者完全可以通过篡改软件包、植入后门,或利用已知漏洞进行渗透,一旦成功潜入企业内网,便可窃取核心商业数据、知识产权,甚至取得内部系统控制权,对企业数据安全构成系统性威胁。”熊明辉解释说,“为完成复杂任务,OpenClaw在开发与运行时往往需要较高的系统权限。若配置存在疏漏,或软件自身存在未修补的漏洞,可能导致主机敏感信息(如密钥、配置)泄露。攻击者借此可劫持设备,将其纳入僵尸网络或用于发起进一步的内部攻击,严重威胁企业基础设施的稳定与安全。”
此外,在扮演个人助手时,OpenClaw处理通讯录、日程、聊天记录等大量敏感个人信息时,安全防护的薄弱环节可能导致这些数据被窃取与滥用。更危险的是,在集成金融交易功能的场景下,一旦智能体被攻破,攻击者可能诱导其执行错误转账、越权查询等操作,直接造成用户财产损失,动摇数字经济的信任基石。
美国网络安全企业CrowdStrike在专项报告中指出,行动型AI智能体的安全风险远高于传统对话式AI,一旦被劫持,可直接完成用户设备接管、敏感信息窃取、核心数据篡改等操作,危害覆盖个人隐私、企业商业机密与公共机构信息。日本、韩国多家大型企业及金融机构紧急下发通知,全面禁止办公设备安装OpenClaw,严防核心业务数据泄露。英国信息专员办公室也发布风险提示,提醒公共服务机构谨慎使用行动型AI工具,避免公民隐私信息遭到非法窃取。
当技术缺陷与人性弱点相遇,灾难便不再只是理论推演。随着OpenClaw迅速蹿红,暗处的“猎人”也闻风而动。他们不是传统意义上的网络窃贼,而是一群精通社会工程学、区块链技术和AI架构的新型网络犯罪分子。在OpenClaw生态系统的阴影之下,一场针对全球数字资产的隐秘洗劫正在全球各地悄然上演。
今年3月,随着OpenClaw在GitHub上获得超过32.4万颗星标、跃居全球仓库排名第九,一场针对其开发者社区的精准钓鱼攻击全面爆发。攻击者的目标不是普通用户,而是持有加密货币的开发者——一个既是代码构建者,又是数字资产高净值持有者的“双重身份”群体。
这场攻击的精妙之处在于其完整的社会工程学设计。攻击者没有选择传统的电子邮件,而是深入开发者日常工作的核心场所——GitHub。他们利用GitHub的“Star”功能进行情报收集:通过脚本扫描给OpenClaw点过星的用户列表,锁定高价值目标。这些用户不仅对“CLAW代币”有认知基础,且极有可能是该生态的早期参与者,持有相关资产的概率远高于普通用户。
随后,攻击者创建多个GitHub账户,在受控仓库中开启Issue线程,并@提及数十名选定的开发者。诱饵内容极具诱惑力:“感谢您在GitHub上的贡献。我们分析了您的档案,选中您获得OpenClaw分配额度。”——附带一个声称用于领取价值5000美元“CLAW代币”的链接。
反网络钓鱼技术专家芦笛指出,此类攻击成功的关键在于利用了“损失厌恶”与“错失恐惧”的心理机制。在加密货币领域,早期参与者通过空投获得巨额回报的案例屡见不鲜,这使得开发者对“意外之财”抱有合理期待。当攻击者将这种期待与“GitHub官方认可”相结合时,受害者的理性判断能力会被显著削弱。
点击链接后,受害者被引导至一个与官方站点几乎一模一样的克隆网站,该网站在视觉设计、字体排版、色彩方案乃至动态效果上都进行了像素级复刻,唯一的区别在于一个醒目的“连接钱包”按钮——这正是陷阱的入口。一旦用户点击按钮并签署相关交易,攻击者无需用户再次确认,即可随时将用户资产转移至自己的钱包。
事实上,黑客们正在利用OpenClaw生态的每一个薄弱环节,编织一张覆盖全球的数字资产掠夺网络。而这张网的可怕之处在于:受害者往往直到资产消失的那一刻,才意识到自己已经落入了猎人的陷阱。
面对OpenClaw带来的系统性安全风险,国际社会的反应从最初的观望迅速转向行动。从美国到欧盟,从日本到英国,一场围绕“行动型AI”的安全治理浪潮正在全球范围内展开,标志着AI监管进入了一个全新的阶段。
美国监管机构率先亮出“红牌”。联邦通信委员会与联邦贸易委员会联合发布临时监管规范,对OpenClaw等行动型AI明确提出三项核心要求:权限最小化、操作可追溯、高危行为人工审核。这一监管框架的核心逻辑在于,将AI智能体视为需要严格管控的“数字员工”,而非可以自由行事的普通软件工具。与此同时,美国政府还提出建立行动型AI安全认证体系,明确规定未通过认证的产品不得面向公众销售。
欧盟则将OpenClaw正式纳入高风险AI监管范畴。根据《AI法案》的配套细则,行动型AI必须接受全生命周期的严格监管,包括数据合规审查、隐私影响评估、算法透明度披露等多重义务。欧盟的监管思路体现了其一贯的“以权利为本”理念:在技术创新与公民隐私之间,天平必须向后者倾斜。这也解释了为何欧盟在AI监管领域始终走在全球前列。
亚洲国家的反应同样迅速且坚决。日本、韩国多家大型企业及金融机构紧急下发通知,全面禁止办公设备安装OpenClaw,严防核心业务数据泄露。韩国政府在跟进发布针对性使用指引的同时,还强化了对开源AI供应链的安全监管。值得注意的是,全球超过23万个暴露在互联网的OpenClaw部署实例中,相当比例集中在互联网产业发达的国家和地区,这使得监管行动显得尤为迫切。
英国信息专员办公室则聚焦公共服务领域,发布风险提示提醒公共机构谨慎使用行动型AI工具,避免公民隐私信息遭到非法窃取。加拿大多个省级政府也相继出台类似指引,要求教育、医疗等敏感领域暂停部署此类产品。澳大利亚网络安全中心则在其官方威胁情报平台发布了针对OpenClaw的专项预警。
在国际组织层面,联合国教科文组织发布的《2026国际人工智能安全报告》确立了跨国界行动型AI的安全基线,推动监管互认与标准协同。国际标准化组织与国际电工委员会联合推进的ISO/IEC 27090专项标准将于年内正式发布,这将成为全球首个聚焦AI系统网络安全防控的权威指南。这些国际标准的出台,标志着行动型AI安全治理正从各国的“单打独斗”走向全球协同。
从技术架构的先天缺陷,到全球用户的真实受害,再到多国监管的紧急响应,OpenClaw事件揭示了一个正在加速形成的时代悖论:当AI从“对话”走向“行动”,其蕴含的破坏力与创造力同样惊人。技术发展的历史反复证明,安全性从来不是创新的对立面,而是其可持续演进的前提条件。正如一位安全专家所言,我们需要的不是把“龙虾”关回笼子,而是学会如何在可控的环境中安全地“养虾”。在这场全球性的安全治理浪潮中,谁能率先建立起完善的风险防控体系,谁就能在行动型AI时代的竞争中赢得真正的先机。
END
风险提示| “代理退保”花样翻新,擦亮双眼强力维权
