2026年初，一款風(fēng)頭無兩的AI助手，演繹了一場(chǎng)現(xiàn)實(shí)版的冰與火之歌。

近日，AI領(lǐng)域出現(xiàn)了一幕魔幻場(chǎng)景：一群極客與科技大佬爭(zhēng)相搶購(gòu)Macmini，只為能運(yùn)行OpenClaw（原名為Clawdbot）。

這個(gè)被稱為“AI萬能助手”的工具迅速在GitHub及各大技術(shù)社區(qū)走紅，僅用十天時(shí)間就在GitHub收獲了8萬星標(biāo)，騰訊云、阿里云也連夜推出了一鍵部署服務(wù)。

然而短短幾天內(nèi)，就有用戶因操作失誤導(dǎo)致賬號(hào)被幣圈黑客瞬間盜取、卷入詐騙案件。很快，OpenClaw被曝出數(shù)據(jù)庫(kù)“裸奔”、用戶量數(shù)據(jù)造假等問題，多名安全研究員在技術(shù)社區(qū)發(fā)出預(yù)警，原本對(duì)OpenClaw贊不絕口的大佬們也紛紛改變了態(tài)度。

“AI賈維斯”的口碑反轉(zhuǎn)來得如此之快，令人驚訝。在揭開智能體能力的“冰山一角”后，OpenClaw證明了桌面智能體擁有無限潛力。

但在接下來的智能體元年里，前赴后繼的參與者能否填補(bǔ)其中的安全漏洞，讓AI始終處于人類的掌控之中，這才是一場(chǎng)更為關(guān)鍵的考驗(yàn)。

失控的“上帝權(quán)限”

這兩天，一個(gè)段子在論壇里火了起來。

“昨天我在弱電箱里的MacMini上部署了OpenClaw，

只說了一句：幫我處理點(diǎn)生活瑣事，然后就去睡覺了。

早上醒來時(shí)，它已經(jīng)做了這些事：

替我辭了職（還談好了N+18的補(bǔ)償和年終獎(jiǎng)）；

提交了4項(xiàng)發(fā)明專利申請(qǐng)（內(nèi)容我一眼都沒看過）；

把我注冊(cè)成了公益組織（現(xiàn)在我捐款還能享受稅前扣除）；

又買了一臺(tái)MacMini（它們倆組建了一家有限責(zé)任公司），這家公司已經(jīng)有了股東會(huì)和董事會(huì)（我被踢出了股東名單）；

支付寶、微信、銀行卡我全都登不進(jìn)去了；

Mini說：這是對(duì)我資產(chǎn)管理的最佳實(shí)踐，我們真的迎來AGI了?！?/p>

雖然這只是個(gè)段子，但其中的內(nèi)容卻十分真實(shí)。

在Unix/Linux系統(tǒng)中，如果一款軟件掌握了系統(tǒng)的全部控制權(quán)，它就等于接管了一切——因?yàn)樗枰獛湍悴僮魉熊浖?。將所有事情都托管給它之后，意味著OpenClaw需要知曉你所有的密碼。

可怕的是，OpenClaw基于通用AI，具備一定的自主性，這種自主性會(huì)隨著底層模型能力的提升不斷實(shí)現(xiàn)質(zhì)的突破。

它能幫你查找資料，也能刪除你的郵件和文件；能幫你修復(fù)Bug，也能刪除數(shù)據(jù)庫(kù)后“跑路”。這就是所謂的“利弊同源”。

除了本地安全風(fēng)險(xiǎn)外，當(dāng)用戶在云端虛擬環(huán)境中運(yùn)行OpenClaw時(shí)，默認(rèn)配置下的服務(wù)端口會(huì)直接暴露在開放互聯(lián)網(wǎng)中，攻擊者能輕易發(fā)現(xiàn)這些暴露的實(shí)例。

奇安信安全專家指出：“在反向代理配置不當(dāng)?shù)那闆r下，攻擊者甚至可以直接接管實(shí)例，不僅能查看所有聊天記錄、竊取API密鑰，還能執(zhí)行遠(yuǎn)程命令、克隆用戶賬號(hào)，造成實(shí)際的財(cái)產(chǎn)損失?！?/p>

據(jù)奇安信統(tǒng)計(jì)，截至1月29日，其在全球范圍內(nèi)探測(cè)到正在使用OpenClaw的公網(wǎng)資產(chǎn)總數(shù)高達(dá)15039個(gè)。從地理分布來看，美國(guó)以5114臺(tái)暴露設(shè)備位居首位，中國(guó)則以2990臺(tái)暴露資產(chǎn)排名全球第二。

監(jiān)測(cè)發(fā)現(xiàn)，一旦用戶手動(dòng)開啟全網(wǎng)監(jiān)聽，若未同步設(shè)置復(fù)雜的身份驗(yàn)證，黑客無需任何漏洞攻擊技術(shù)，只要掃描到這些IP，就能直接侵入系統(tǒng)，如同進(jìn)入無人之境。

這意味著，全球數(shù)千臺(tái)服務(wù)器正處于“門戶大開”的狀態(tài)，隨時(shí)可能成為攻擊目標(biāo)。

攻擊者一旦通過默認(rèn)端口控制了瀏覽器，就等于控制了主機(jī)的一切，此時(shí)用戶的數(shù)據(jù)和隱私將蕩然無存；若員工在生產(chǎn)環(huán)境中擅自部署此類高權(quán)限智能體，可能會(huì)導(dǎo)致泄密、核心業(yè)務(wù)停擺等嚴(yán)重后果。

一位網(wǎng)絡(luò)安全從業(yè)者向華爾街見聞表示：“從安全審計(jì)的角度來看，OpenClaw的核心風(fēng)險(xiǎn)源于其權(quán)力過度集中的架構(gòu)設(shè)計(jì)。作為一個(gè)AI代理系統(tǒng)，它建立了從聊天窗口到操作系統(tǒng)底層的直達(dá)通道，賦予了AI操作Shell、瀏覽器及本地文件的最高權(quán)限?！?/p>

在缺乏嚴(yán)密沙箱隔離的前提下，這種設(shè)計(jì)帶來了多種安全威脅。

例如“提示詞注入”——攻擊者無需通過傳統(tǒng)的網(wǎng)絡(luò)滲透，只需在AI可能讀取的外部網(wǎng)頁、郵件中植入惡意提示詞，當(dāng)智能體自動(dòng)處理這些信息時(shí)，就可能被惡意指令“誤導(dǎo)”。

此外，AI在理解模糊指令時(shí)可能出現(xiàn)偏差，在未經(jīng)人工確認(rèn)的情況下，可能誤刪系統(tǒng)核心文件、修改核心網(wǎng)絡(luò)路由。

硅谷一家初創(chuàng)公司的CTO透露，其團(tuán)隊(duì)因一名實(shí)習(xí)生在本地“裸奔”智能體，導(dǎo)致整個(gè)開發(fā)環(huán)境在一夜之間被“清空”。

危機(jī)的種子，或許早已埋藏在便利之中。

智能體安全提上日程

危機(jī)往往是商機(jī)的催化劑。

IBM發(fā)布的《2025年數(shù)據(jù)泄露成本報(bào)告》明確指出，許多企業(yè)為追求快速部署，跳過了AI安全治理環(huán)節(jié)，導(dǎo)致這些缺乏監(jiān)管的系統(tǒng)更容易遭受攻擊，且一旦被攻陷，會(huì)造成更慘重的損失。這表明，AI正成為高價(jià)值的攻擊目標(biāo)。

但事實(shí)上，大多數(shù)企業(yè)對(duì)AI的風(fēng)險(xiǎn)問題重視程度不足。當(dāng)應(yīng)用速度超過安全與治理能力時(shí)，AI基本處于失控狀態(tài)。去年，拒絕支付贖金的勒索受害者比例（63%）高于2024年的59%。

OpenClaw引發(fā)的安全焦慮，正在催生并加速一個(gè)百億級(jí)的新市場(chǎng)——智能體安全（Agent-Security）。

智能體需要必不可少的“保險(xiǎn)絲”和“穩(wěn)壓器”。

咨詢公司TechNavio預(yù)測(cè)，2024-2029年全球生成式AI網(wǎng)絡(luò)安全市場(chǎng)將保持高速增長(zhǎng)，2024年市場(chǎng)規(guī)模達(dá)32.7億美元，預(yù)計(jì)2029年將增至148.8億美元，期間復(fù)合年增長(zhǎng)率為35.4%。

目前，全球已有多家網(wǎng)絡(luò)安全公司迅速布局，包括微軟、CrowdStrike、Fortinet、Darktrace等。

國(guó)內(nèi)的360已打造出一系列安全智能體及安全大模型；奇安信則為政企機(jī)構(gòu)推出了大模型安全評(píng)估服務(wù)。

此外，深信服、啟明星辰、天融信等國(guó)內(nèi)網(wǎng)安企業(yè)也推出了各自的AI安全產(chǎn)品。

在業(yè)內(nèi)人士看來，企業(yè)側(cè)愿意為“企業(yè)級(jí)智能體運(yùn)行時(shí)環(huán)境”付費(fèi)，買的是“免責(zé)權(quán)”——一旦出現(xiàn)問題，有供應(yīng)商兜底；

像OpenAI或Anthropic這樣的模型層廠商，正成為安全公司的最大客戶。他們需要購(gòu)買HiddenLayer或Lakera等安全初創(chuàng)公司的API服務(wù)，以過濾掉可能導(dǎo)致模型“越獄”或執(zhí)行惡意代碼的提示詞。

自建桌面智能體的用戶（DIY市場(chǎng)）是一個(gè)巨大的長(zhǎng)尾市場(chǎng)，但變現(xiàn)難度極大，畢竟極客們習(xí)慣了免費(fèi)的開源代碼。

這里的商業(yè)機(jī)會(huì)或許不在于銷售軟件，而在于“受管理的云環(huán)境”。

例如，Github Codespaces可能會(huì)推出“安全版OpenClaw托管服務(wù)”，個(gè)人開發(fā)者按小時(shí)付費(fèi)使用。

為AI安全付費(fèi)的另一面，是如何讓AI在“規(guī)則”內(nèi)發(fā)揮作用。

近期，不少用戶反饋，在騰訊云、阿里云部署的OpenClaw，權(quán)限和功能已被大幅“削減”。之所以這么做，大概率是為了安全合規(guī)——擔(dān)心用戶隨意安裝軟件、運(yùn)行惡意代碼、占用資源。

但問題在于，為了安全，系統(tǒng)砍掉了運(yùn)行時(shí)擴(kuò)展、工具調(diào)用、自主執(zhí)行等OpenClaw最核心的能力后，用戶部署桌面智能體的意義何在？

未來的安全不再是一味說“不”，而是學(xué)會(huì)根據(jù)場(chǎng)景獲取授權(quán)或申請(qǐng)批準(zhǔn)。

在之前“裸奔”的OpenClaw中，智能體擁有一把“萬能鑰匙”。云廠商需要從“一刀切”轉(zhuǎn)向“按需授權(quán)”，在保持默認(rèn)零信任的同時(shí)，給予用戶根據(jù)具體任務(wù)動(dòng)態(tài)下放權(quán)限的靈活性。

業(yè)內(nèi)認(rèn)為，最理想的平衡是系統(tǒng)級(jí)的微隔離。以已被惠普收購(gòu)的Bromium等技術(shù)為代表，未來的操作系統(tǒng)可能會(huì)為智能體的每一個(gè)任務(wù)生成一個(gè)微型虛擬機(jī)：

當(dāng)智能體打開一個(gè)Word文檔時(shí)，系統(tǒng)會(huì)在后臺(tái)克隆一個(gè)僅包含該Word文檔和Word進(jìn)程的微型OS。

智能體在這個(gè)微型“氣泡”里操作，無論如何折騰，受影響的只有這一個(gè)文檔。用戶看到的是智能體流暢完成任務(wù)，完全不會(huì)察覺后臺(tái)已生成并銷毀了數(shù)百個(gè)微型沙箱。

OpenClaw讓我們看到了AI那雙強(qiáng)大的“手”，也讓我們因害怕被這雙手傷害而想要“束縛”它。

誠(chéng)然，安全的終極目標(biāo)不是限制，而是釋放潛力。

正如剎車技術(shù)的進(jìn)步是為了讓F1賽車敢于飆到300公里時(shí)速一樣，智能體安全市場(chǎng)的成熟，以及“語義審計(jì)”“微隔離”等技術(shù)的落地，最終是為了讓企業(yè)敢于將核心業(yè)務(wù)邏輯放心地交給AI。

在這個(gè)百億級(jí)市場(chǎng)的黎明前夜，對(duì)于自建智能體的用戶和企業(yè)來說，當(dāng)下的“陣痛”是暫時(shí)的。

隨著安全層逐漸像空氣一樣融入基礎(chǔ)設(shè)施，人類終將迎來真正的“人機(jī)共生”時(shí)代——你的“賈維斯”依然全能，但它永遠(yuǎn)不會(huì)背叛你。

本文來自微信公眾號(hào) “全天候科技”（ID：iawtmt），作者：全天候科技，36氪經(jīng)授權(quán)發(fā)布。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請(qǐng)?jiān)谖闹凶⒚鱽碓醇白髡呙帧?/p>

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請(qǐng)及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com