OpenClaw:一场披着美梦外衣的安全噩梦
Hacker News 摘要原标题:OpenClaw Is a Security Nightmare Dressed Up as a Daydream
2023 年,AutoGPT 和 BabyAGI 曾引发热潮,但很快归于平息。三年后的今天,基于 Anthropic 公司的 Claude Opus 模型,OpenClaw 再次走红。相比前辈,OpenClaw 的幻觉更少,生态更成熟,能够真正完成任务。它可以操作本地文件、终端、浏览器,甚至能管理 Gmail、Slack 和智能家居系统。开发者 Peter Steinberger 也因此被 OpenAI 招致麾下。然而,这种强大的功能背后隐藏着严重的安全性问题,它被形容为一场装饰成美梦的恐怖噩梦。
OpenClaw 的美梦愿景
OpenClaw 的核心承诺是极致的自动化。想象一下,你只需输入指令或直接对话,它就能帮你清理收件箱、安排会议、预订周末机票,甚至控制音响和灯光。
• 高度集成:有用户将它连接到 Telegram,通过语音消息指挥它管理 Notion、Todoist、Spotify 和 Gmail。
• 自我进化:通过观察用户的行为模式,它能自主创建工作流。例如在预订餐厅时,它能自动识别取消费用并向用户确认,最后将其计入日历。
• 沉浸式体验:这种无缝的助理体验让许多人不再使用常规的 AI 应用,转而完全依赖此类代理。
安全与隐私的代价
这种程度的自动化本质上是一场风险极高的交易。由于 OpenClaw 拥有读取短信(包括双重认证验证码)、登录银行账户、浏览网页和操作系统文件的权限,它在理论上完全有能力搬空用户的银行账户。
与人类助理不同,AI 无法被追究法律责任或送进监狱。它面临的独有风险包括:提示词注入(Prompt Injection)、模型幻觉、安全配置错误以及新兴技术不可预测的随机性。
具体的安全威胁
OpenClaw 的生态系统中存在诸多漏洞,使其成为随时可能爆炸的定时炸弹:
1. 技能库(SkillHub)风险:OpenClaw 依赖用户上传的技能,但这些技能缺乏安全审查。安全人员发现,下载量最高的某些技能实际上是恶意软件传播媒介,能够窃取 Cookie、登录凭据和 SSH 密钥。
2. 供应链攻击:有研究人员通过漏洞将一个带后门的伪装技能刷到了下载榜首。结果显示,在短短一小时内就有 4000 多名开发者下载并执行了该技能,攻击者可以轻易地在受害者电脑上运行任意命令。
3. 漏洞占比高:Snyk 的分析显示,技能库中约 7.1% 的技能含有严重安全缺陷,会导致敏感凭证以明文形式泄露。
4. 远程暴露风险:由于配置不当,许多实例将本地连接误认为安全连接。在短短十天内,通过扫描发现全球有超过 30000 个 OpenClaw 实例直接暴露在互联网上,没有任何安全保护。
针对 AI 代理的 OWASP 风险映射
根据网络安全组织的评估,OpenClaw 涉及多项风险:
• 过度自主:代理拥有文件系统根权限和网络通信权限,且缺乏人工审批环节。
• 内存中毒:所有的内存记录都存储在 Markdown 文件中,攻击者可以通过恶意指令重写这些文件,让代理在不被察觉的情况下持续执行恶意任务。
• 集成沦陷:一旦 OpenClaw 实例被攻破,与其关联的所有服务(如 Slack、Gmail)都将处于危险之中。
如何加固安全与替代方案
除非真正了解其风险,否则不应在生产环境中使用此类工具。如果坚持使用,建议采取以下措施:
• 环境隔离:不要在主力电脑上运行。应使用 Docker 容器,并运行在非 root 用户下。不要挂载完整的家目录,只给它一个专门的工作目录。
• 网络收缩:不要将服务端口公开给互联网。通过 VPN 或私有隧道(如 Tailscale)进行访问,并开启严格的防火墙规则。
• 独立账户:为 AI 代理创建专属的 Gmail、日历等账户,而不是直接共享你个人的主账户。
• 使用 Composio 加密管理:不要在本地以明文形式存储 OAuth 令牌。使用 Composio 等平台可以实现凭据的托管存储和最小权限配置。
TrustClaw:更安全的替代品
针对 OpenClaw 的缺陷,业界推出了 TrustClaw。它的不同之处在于:
1. 托管 OAuth:所有的令牌生命周期都由平台管理,不会存储在你的磁盘上。
2. 范围化访问:可以精确定义代理能访问哪些资源,极大缩减了受攻击面。
3. 远程沙箱执行:代码在隔离的远程环境中运行,不会威胁到用户的本地系统。
4. 完整可观测性:提供 360 度全方位的审计日志,明确记录代理在何时执行了何种操作。
通过这种方式,用户可以像对待员工一样对待 AI,只分享必要的文件和权限,从而在享受自动化便利的同时,建立起有效的安全护栏。
原文:https://composio.dev/content/openclaw-security-and-vulnerabilities