微新创想:近日据 AIbase 报道,微软针对其人工智能助手 OpenClaw 发布了重要安全警告。该警告明确指出,OpenClaw 不应被部署在标准的个人或企业工作站上,而应仅运行于完全隔离的环境中。OpenClaw 被设计为一种能够自主执行任务的人工智能代理,具备高度的自动化能力。
为实现这一功能,用户需要授予 OpenClab 对计算机系统和软件的全面访问权限。这包括对电子邮件、文件、在线服务以及登录凭据的访问。这种“高权限+持久状态(内存)”的运行模式,虽然赋予了 OpenClaw 强大的执行能力,但也带来了显著的安全隐患。
微软 Defender 安全研究团队在官方博客中指出,OpenClaw 应被视为一种“具有持久凭据的不受信任代码执行程序”。一旦被恶意利用,攻击者不仅可能窃取用户的凭据和敏感数据,还可能通过篡改代理的持久记忆,使其在后续运行中持续执行恶意指令。
微软披露,目前 OpenClaw 面临两类核心威胁。第一是间接提示注入(Indirect Prompt Injection)。攻击者可以将恶意指令隐藏在代理读取的内容中,从而操控其工具调用或篡改其内存,进而长期影响其行为。如果未设置严格的安全边界,代理可能在不知情的情况下执行攻击者的意图。
第二类威胁是技能恶意软件(Skill-based Malware)。OpenClaw 可以从互联网下载并运行代码以扩展其功能,这一机制可能成为攻击的入口。攻击者通过投递包含恶意代码的“技能”模块,实现对 OpenClaw 的远程控制或植入后门。
微软强调,成功攻击并不一定依赖传统的恶意软件,也可能通过细微的配置更改实现。安全风险并非只是理论上的讨论,而是真实存在的威胁。近期,SecurityScorecard 旗下的 STRIKE 威胁情报团队发现,全球 82 个国家的超过 42,000 个独立 IP 地址暴露了 OpenClaw 控制面板。其中约 50,000 个实例存在远程代码执行(RCE)漏洞,攻击者可以直接控制宿主系统,用户账户面临被接管的风险。
基于上述安全风险,微软建议相关组织在专用虚拟机或独立物理系统中进行测试与评估。运行环境应使用专用、非特权的凭据,仅访问非敏感数据,并建立持续监控与定期重建机制,以避免在核心生产系统中直接部署 OpenClaw。
随着自主代理型 AI 工具逐步进入实际应用场景,其安全边界与治理体系正成为行业必须正视的问题。OpenClaw 的案例再次提醒企业,在拥抱 AI 自动化能力的同时,必须同步构建严格的隔离、权限与监控框架。否则,强大的执行能力可能反而成为攻击的入口。