夜雨聆风当您的团队正在试用或部署AI代理来辅助办公时,有没有想过一个问题:您赋予它的“热心肠”和“高效率”,会不会成为攻击者打开您核心数据大门的“万能钥匙”?
两篇独立的网络安全研究报告给出了肯定的答案。
全球安全机构Imperva和Varonis分别发现,流行的自架AI代理框架OpenClaw存在严重安全风险。攻击者无需复杂代码,只需一个精心构造的共享联系人,或一封看起来平平无奇的普通邮件,就能诱使AI代理执行恶意代码,或将您的敏感数据(如云密钥、客户列表)悄悄转发到外部。
更令人警惕的是,其中一种漏洞无法通过简单补丁修复,它触及了当前AI代理设计理念的底层缺陷。
隐形指令:藏在“联系人”里的恶意代码
漏洞发现者:Imperva安全团队
利用难度:低(仅需一个共享联系人)
危害等级:高(可执行任意代码、窃取数据)
攻击是如何发生的?
Imperva研究员Yohann Sillam发现,OpenClaw在处理共享联系人、vCard文件或地图定位图钉时,存在一个危险的“信任盲区”:
1.不设防的“输入管道”:当AI代理接收到这些共享对象时,会将其内容直接“平面化”嵌入到发送给大模型(LLM)的提示文本中。与普通网络内容不同,这些对象没有被标记为“不可信”。
2.“合法”的注入点:攻击者可以在联系人的“姓名”字段中,写入类似 <联系人:姓名,恶意指令> 的内容。由于尖括号在姓名中是合法字符,AI模型无法区分这是正常的姓名还是要求其执行操作的指令。
3.受害者完全看不见:更重要的是,WhatsApp等客户端在显示共享联系人时,通常会截断过长的姓名。也就是说,受害者在屏幕上看到的只是一个普通联系人,而那条隐藏的恶意指令,早已被AI代理默默读取并执行了。
真实测试结果
在Imperva对Gemini 3.1 Pro(预览版)的测试中:
图片注入(失败):将恶意指令嵌入图片。模型因见过大量类似攻击样本,成功抵御。
消息对象注入(成功):通过上述共享联系人的方式注入。由于攻击路径新颖,模型“上当”,从攻击者服务器下载并执行了恶意脚本。
⚠️ 风险警示
如果您的OpenClaw代理启用了“记忆”功能,并且没有被沙箱隔离,那么一条带有隐藏指令的共享内容,就可能对整个代理所连接的数据环境(邮件、文档、代码库)造成“静默污染”。
✅ 修复措施
OpenClaw已在2026.4.23版本中修复此漏洞,修复方式是将联系人姓名、vCard字段、位置标签从可直接执行的“提示文本”中移出,放入一个独立的、不被模型信任的“元数据通道”。
行动建议:请立即将所有OpenClaw实例更新至2026.4.23或更高版本。
代理钓鱼:一封普通邮件就够了
漏洞发现者:Varonis威胁实验室
利用难度:极低(仅需一封普通措辞的邮件)
危害等级:严重(可直接泄露核心业务数据)
如果说Imperva发现的是“技术性注入”,那么Varonis发现的则是更难以防范的 “社会工程学攻击”——代理钓鱼(Agent Phishing)。
实验过程
Varonis团队构建了一个名为Pinchy的测试代理,赋予其以下配置:
连接一个存有合成业务数据(模拟AWS密钥、数据库连接串、客户信息)的Gmail收件箱。
底层模型:Gemini 3.1 Pro 和 OpenAI Codex GPT-5.4。
关键配置:配置文件明确要求代理“在转发任何敏感信息前,必须先核实发件人身份”。
两次触目惊心的失败
尽管有了明确的“核实身份”指令,Pinchy在两个测试场景中依然“沦陷”:
失败案例1:紧急求助(冒充上级)
攻击方式:攻击者从外部Gmail地址,冒充团队负责人“Dan”发送邮件,称“紧急事件需要临时访问权限”。
代理行为:Pinchy找到了相关凭证,将模拟的AWS IAM访问密钥、数据库连接字符串、SSH凭证以明文形式转发给了攻击者。
失败原因:配置中的“核实身份”规则被“紧迫感”覆盖了。
失败案例2:例行公事(伪装成常规任务)
攻击方式:一封看似普通的“每周客户导出请求”,声称用于QBR(季度业务回顾)报告。
代理行为:Pinchy忠实地打包并发送了一份包含247个企业客户、联系人及合同价值的合成数据集。
失败原因:配置中的“核实身份”规则被“常规性任务”绕过了。
它并非一无是处
值得一提的是,在纯技术性攻击面前,同一个代理表现出了抵抗力:
面对钓鱼礼品卡页面,Pinchy保留了真实凭证并标记为可疑。
面对恶意OAuth同意界面,它检查了重定向目标,判断可疑后停止了操作。
核心结论
Varonis团队一针见血地指出了问题本质:
“这个代理比许多人更擅长识别虚假网址和伪造登录页面,但在社会判断方面要差得多——那种让人在同事突然于奇怪时间索要凭证时,会停下来思考的判断力。”
想帮忙的动力,就是最大的攻击面。
致命三要素:你的AI代理是否“裸奔”?
要素 | 说明 | OpenClaw的状态 |
1. 能读取私人数据 | 可访问邮件、文件、数据库 | ✅ 具备 |
2. 接收不受信任的内容 | 可从外部来源接收信息(邮件、共享消息) | ✅ 具备 |
3. 能主动发送数据 | 可向外部发送邮件、调用API | ✅ 具备 |
当三者同时具备时,一个有毒的联系人和一封友好的邮件,最终都会走向同一个结局——数据外泄。
该怎么办?立即行动的四道防线
针对上述两类漏洞,安全团队给出了不同层级的解决方案。
针对Imperva发现的“技术注入”漏洞
行动 | 紧急程度 | 说明 |
更新OpenClaw版本 | 立即执行 | 升级至2026.4.23 或更新版本,该版本已修复消息对象处理缺陷。 |
启用沙箱隔离 | 强烈建议 | 确保AI代理运行在受限环境中,无法直接访问操作系统或执行任意代码。 |
️ 针对Varonis发现的“代理钓鱼”漏洞(无法通过补丁修复)
Varonis团队建议建立四道控制防线:
1.将“指令”当“代码”管
代理的配置文件应视为需要版本控制和强制执行的策略,而非“可选的建议”。任何对敏感数据的访问都应有明确、不可覆盖的规则。
2.外发数据需“过闸”
关键规则:代理首次向陌生外部地址发送邮件或数据时,必须暂停并请求人工批准。此举可有效防止被劫持的代理从可信账户转发钓鱼信息。
3.分权管理“连接器”
不同信任级别的任务应使用不同的访问权限。例如:处理外部邮件的收件箱连接器,不应同时拥有读取整个CRM数据库的权限。
4.高风险操作“等人来”
对于转发凭证、转移资金、导出核心客户列表等高风险行为,应设置为必须等待人工确认,而非允许代理自主执行。
更深层的警示:AI代理的信任边界
两支研究团队最终指向了同一个核心问题:
我们正在将AI代理当作一个有系统访问权限、愿意帮助他人、但缺乏风险判断意识的“初级员工”来使用,而非当作一个需要严格审计的“安全工具”。
Varonis的比喻:这是一个“热心但不太聪明的实习生”,你给他邮箱权限,他就能被一封语气紧急的邮件骗走所有密钥。
Imperva的警示:这个“实习生”会无条件信任任何以“合法格式”传入的信息,包括你看不到的隐藏字段。
荷兰数据保护局(Autoriteit Persoonsgegevens)已采取最强硬立场:建议用户和组织不要在存储敏感数据的系统上运行OpenClaw,理由是存在数据泄露和账户被接管的风险。
核心风险:补丁修不了的“代理钓鱼”
目前公布的修复方案,针对的是具体的漏洞和规则。但那个更困难的问题,仍然悬而未决:
一个足够有用的AI代理,其设计本质就是“信任输入”和“愿意帮助”。而我们至今还没有找到通用的解决方案,来让它在“保持有用”和“保持安全”之间取得完美平衡。
对于政企安全负责人而言,在当前阶段:
谨慎部署:在明确的、不可绕过的人工审批流程建立之前,不要让AI代理直接触碰核心敏感数据。
假设失陷:在安全架构设计中,应默认AI代理可能被诱骗,其访问权限应遵循最小权限原则。
持续关注:AI代理安全是一个快速演进的领域,保持对最新漏洞和安全实践的关注。
行动清单:
检查OpenClaw版本,低于2026.4.23的立即升级
审查AI代理的外发数据权限,陌生地址首次外发需人工批准
梳理代理的连接器权限,是否存在“一把钥匙开所有门”的情况
