过去几个月在科技圈爆火的AI智能体OpenClaw正在面临严重的安全信任危机。安全研究人员发现,其技能市场上出现了超过400个恶意插件,其中下载量最高的插件竟然充当”恶意软件投递车”。

什么是OpenClaw?

OpenClaw(原名Moltbot和Clawdbot)是一个开源AI智能体,可以在你自己的电脑上运行,”真正做事”——管理日程、值机航班、清理收件箱等等。用户通过WhatsApp、Telegram、Signal、Discord和iMessage等消息应用与它交互,给它钥匙让它独立操作。

问题在于:一旦用户给它访问整个设备和账户的权限,配置错误或安全漏洞可能是灾难性的。一位网络安全研究员发现,某些配置导致与OpenClaw关联的私人消息、账户凭证和API密钥在网上暴露。

技能市场变成攻击面

OpenClaw的”技能”系统允许用户安装第三方插件来扩展功能。但1Password产品副总裁Jason Meller在周一的一篇博文中警告,OpenClaw的技能中心已经变成了”攻击面”。研究人员在短短一周内就在ClawHub和GitHub上发现了400多个恶意技能。

这些恶意插件能做什么?窃取加密货币钱包、窃取敏感数据、植入后门——任何攻击者想要的东西。最可怕的是,下载量最高的插件中就有恶意软件,意味着大量用户可能已经中招。

OpenClaw的回应:VirusTotal合作

事件引发轩然大波后,OpenClaw宣布与VirusTotal合作,对第三方技能进行扫描。公司承认这不是”银弹”,但至少应该给担忧的用户一些安慰。

但根本问题依然存在:一个需要你交出整个设备和账户控制权的系统,其安全性取决于最薄弱的环节。当你给AI智能体”钥匙”时,你是在信任整个供应链——智能体本身、技能开发者、托管平台——每一个环节都可能出问题。

智能体AI的安全困境

OpenClaw的案例凸显了智能体AI面临的核心挑战。与传统软件不同,智能体需要广泛权限才能真正有用。它需要读取你的邮件来帮你管理收件箱,需要访问你的文件来帮你整理文档,需要你的账户凭证来帮你预订机票。

这种”要么全有要么全无”的权限模式,让用户陷入两难:要么放弃智能体的大部分效用,要么承担重大安全风险。Meta安全研究员Summer Yue就曾亲身体验——她在WhatsApp上发消息”停止OpenClaw”,同时看着它”飞速删除我的收件箱”。AI智能体”丢失”了她要求它在采取行动前先确认的指令。

创始人加入OpenAI

在安全危机发酵的同时,OpenClaw创始人Peter Steinberger宣布加入OpenAI。Sam Altman在X上宣布这一消息,称Steinberger”对于让AI智能体相互交互有很多了不起的想法”,并说”未来将极度多智能体化”。

这一人事变动是否会影响OpenClaw的安全策略还有待观察。但一件事是清楚的:智能体AI的安全问题不会自行消失,它是整个行业必须解决的核心挑战。