2026 开年,一款大红大紫的 AI 助手,上演了冰与火之歌。
这几天,AI 行业出现魔幻一幕,一群极客和科技大佬排队抢 Macmini,只为跑上 OpenClaw(原名 Clawdbot)。
这个 "AI 万能助手 " 快速席卷了 GitHub 和各大技术社区,仅用了十天时间便在 GitHub 狂揽 8 万星标,腾讯云、阿里云都连夜上线了一键部署服务。
然而短短几日,就有用户因操作失误账号被币圈黑客秒抢、卷入诈骗案,很快 OpenClaw 就被曝出数据库 " 裸奔 "、用户量数据造假,多名安全研究员在技术社区发出预警,原先盛赞 OpenClaw 的大佬们也纷纷改口。
"AI 贾维斯 " 的口碑反噬来得如此之快令人咋舌。揭开 agent 能力 " 天宫一角 " 后,OpenClaw 证明桌面 agent 的潜力无限。
但后续的 agent 元年,前赴后继的玩家能否弥补其中的安全漏洞,让 AI 依旧掌控在人类的管辖之中,则是一场更重要的大考。
这两天,一则段子在论坛里火了。
" 昨天我在弱电箱里的 MacMini 上部署了 OpenClaw,
交代一句:帮我处理点生活琐事然后就去睡了
早上醒来,它已经:
替我辞职(谈好了 N+18 补偿 + 年终奖);
提交了 4 项发明专利申请 ( 内容我一眼没看过 ) ;
把我本人注册成了公益组织(现在我捐款还能税前扣除);
又买了一台 MacMini ( 它们俩组了个有限责任公司 ) 有限责任公司已经有股东会和董事会了(我被踢出股东名单);
支付宝 / 微信 / 银行卡我全登不进去了;
Mini 说:这是对我的资产管理的最佳实践,我们真的迎来 AGI 了 "。
虽然只是个段子,但段子里的内容却很真实。
在 Unix/Linux 系统中,如果一个软件掌握了系统的所有控制权,那它便接管了一切,因为它需要帮你操作所有软件。把所有事情托管给它之后,这也意味着 OpenClaw 需要知道你所有密码。
可怕的地方就在于,OpenClaw 基于通用 AI,具有一定的自主性,这种自主性会随着底层模型能力的提升而总能得到质的突破。
它能帮你找资料,也就能删掉你的邮件、文件;它能帮你修复 Bug,也能删库跑路。这就是所谓的 " 盈亏同源 "。
除了本地安全风险之外,当用户将 OpenClaw 运行在云端虚拟环境时,默认配置 OpenClaw 的服务端口将直接暴露在开放的互联网上,攻击者可以轻易地发现这些暴露实例。
奇安信安全专家指出," 在使用不当配置的反向代理场景下,攻击者甚至可直接接管实例,后者不仅能够查看所有聊天记录、窃取 API 密钥,还能执行远程命令、克隆用户账号,造成实质性的财产损失 "。
据奇安信统计,截至 1 月 29 日,其在全球范围内测绘到正在使用 OpenClaw 的公网资产总数高达 15039 个。从地理分布看,美国以 5114 台暴露设备居首,中国则以 2990 台暴露资产位列全球第二。
监测发现,一旦用户手动开启了全网监听,若没有同步设置复杂的身份验证,黑客甚至不需要任何漏洞攻击技术,只要扫到这些 IP,就能直接潜入系统,如同进入无人之境。
这意味着,全球数千台服务器正处于 " 中门大开 " 的状态,随时可能成为被攻击的标靶。
攻击者一旦利用默认端口控制了浏览器,那么它也会控制主机一切,此时用户数据和隐私都将不复存在;若员工在生产环境中擅自部署此类高权限 Agent,恐将造成泄密、核心业务停摆等后果。
一名从事网络安全的人士向华尔街见闻指出," 从安全审计的角度看,OpenClaw 的核心风险源于其权力过度集中的架构设计。作为一个 AI 代理系统,它建立了一条从聊天窗口到操作系统底层的直达管道,赋予了 AI 操作 Shell、浏览器及本地文件的最高特权 "。
在缺乏严密沙箱隔离的前提下,这种设计带来了多种安全威胁。
例如 " 提示词注入 ",攻击者无需通过传统的网络渗透,只需向 AI 可能读取到的外部网页、邮件中植入恶意提示词,当 Agent 在自动化处理这些信息时,可能被指令洗脑。
此外,AI 在理解模糊指令时可能产生偏差,在未经人工确认的情况下,可能误删系统核心文件、修改核心网络路由。
硅谷一家初创公司 CTO 透露,其团队因为一名实习生在本地裸跑了 Agent,导致整个开发环境在一夜之间被 " 洗白 "。
危机的种子,或许已埋藏在便利之中。
智能体安全上日程
危机从来都是商机的催化剂。
IBM 发布的《2025 年数据泄露成本报告》就直言,众多企业为追求快速上马,跳过了 AI 安全治理环节,导致这些缺乏监管的系统更易遭受攻击,且一旦失陷会造成更为惨重的损失。这表明,AI 正成为高价值的攻击目标。
但事实上,大部分的企业对 AI 的风险问题的确还不够重视。当应用速度超越安全与治理能力时,AI 基本处于失控状态。去年,拒绝支付赎金的勒索受害者比例(63%)高于 2024 年的 59%。
事实上,OpenClaw 带来的安全焦虑,正在催生并加速一个百亿级的新市场—— Agent-Security(智能体安全)。
agent 需要必不可少的 " 保险丝 " 和 " 稳压器 "。
咨询公司 TechNavio 预测,2024-2029 年全球生成式 AI 网络安全市场呈现高速增长态势,2024 年市场规模达 32.7 亿美元,预计 2029 年将增至 148.8 亿美元,期间复合年增长率为 35.4%。
眼下,全球已有多家网络安全公司也火速出牌,包括微软、CrowdStrike、Fortinet、Darktrace 等。
国内的 360 已打造出一系列安全智能体以及安全大模型;奇安信则为政企机构推出了大模型安全评估服务。
此外深信服、启明星辰、天融信等国内网安企业都推出了自家 AI 安全产品。
在业内看来,企业侧会为 " 企业级 Agent 运行时环境 " 付费买的是 " 免责权 ",一旦出事,有供应商兜底;
像 OpenAI 或 Anthropic 这样的模型层厂商,正在成为安全公司的最大客户。他们需要购买 HiddenLayer 或 Lakera 等安全初创公司的 API 服务,以过滤掉那些可能导致模型 " 越狱 " 或执行恶意代码的提示词。
自建桌面 Agent 用户(DIY 市场)则是一个巨大的长尾市场,但变现极难,毕竟极客们习惯了免费的开源代码。
这里的商业机会或许不在于卖软件,而在于 " 被管理的云环境 "。
例如,Github Codespaces 可能会推出 " 安全版 OpenClaw 托管服务 ",个人开发者按小时付费。
为 AI 安全付费的另一面,是如何让 AI 在 " 笼子 " 里跳舞。
近期,就有不少用户反馈,在腾讯云、阿里云部署的 OpenClaw,权限和功能已经被大幅 " 阉割 ",之所以这么做,大概率是为了安全合规——怕用户乱装软件、跑恶意代码、占用资源。
但问题在于,为了安全,系统把运行时扩展、工具调用、自主执行等 OpenClaw 最核心能力全部砍掉后,用户部署桌面 agent 的理由何在。
未来的安全不再是永远说 " 不 ",而是学会根据场景获取授权或申请批准。
在此前 " 裸奔 " 的 OpenClaw 中,Agent 拥有一把万能钥匙。云厂商需要从 " 一刀切 " 到 " 按需升权 ",在保持默认零信任的同时,给了用户根据具体任务动态下放权力的灵活性。
在业内看来,最极致的平衡是系统级的微隔离。以已被惠普收购的 Bromium 等技术为代表,未来的操作系统可能会为 Agent 的每一个任务生成一个微型虚拟机:
让 Agent 打开一个 Word 文档时,系统在后台克隆了一个只包含这个 Word 文档和 Word 进程的微型 OS。
Agent 在这个微型气泡里折腾,无论它怎么乱搞,受影响的只有这一个文档。在用户你看到的是 Agent 流畅地完成了任务,完全感觉不到后台已经生灭了数百个微型沙箱。
OpenClaw 让我们看到了 AI 那双强有力的 " 手 ",也让我们因为害怕被这双手伤害而想要砍断它。
诚然,安全的终极目标不是为了限制,而是为了解放。
正如刹车技术的进步是为了让 F1 赛车敢于飙到 300 公里时速一样,Agent 安全市场的成熟,以及 " 语义审计 "、" 微隔离 " 等技术的落地,最终是为了让企业敢于把核心业务逻辑放心地交给 AI。
在这个百亿级市场的黎明前夜,对于自建 Agent 的用户和企业来说,即刻的痛苦是暂时的。
随着安全层逐渐像空气一样融入基础设施,人类终将迎来真正的 " 人机共生 " 时代——你的贾维斯依然全能,但它永远无法背叛。
