244
0在过去两周(2026年2月下旬至3月8日),OpenClaw北美社区的讨论异常火爆,但话题呈现出从“疯狂增长”到“安全危机”的剧烈转折。
这里是“Vivian在哪里”,这是一档和朋友们探索未知美好的播客栏目,我们讨论投资、科技、商业、成长,也聊聊职业身份以外我们是如何探寻美好生活的故事。今天是Vivian的一次单口,继续聊聊Openclaw近期安全问题
第一个爆雷的是“ClawJacked”安全危机与紧急补丁
安全机构 Oasis Security 披露了一个高危漏洞,代号为"ClawJacked"。该漏洞允许恶意网站通过本地 WebSocket 连接静默劫持用户的 AI 代理。由于 OpenClaw拥有极高的系统权限,黑客可以借此执行 shell 命令、窃取 API 密钥或读取私密文件。
虽然官方在 24 小时内发布了修复版本(v2026.2.25 及更高版本)。但目前用户主流讨论集中在“如何安全配置本地网关”、“使用非主力机”以及“是否应在隔离的虚拟机中运行”。
OpenClaw安全报告解读
Oasis Security 对"ClawJacked"漏洞的披露不仅是一次简单的技术预警,更揭示了 AI Agent 类软件在权限边界上的一个系统性盲点。我们也一起看看报告细节。
这次攻击之所以致命,是因为它不需要用户点击危险链接、下载插件或授予任何权限,仅仅是“访问一个网页”就会触发。
绕过浏览器限制,浏览器通常有同源策略(SOP),但它不拦截向localhost(本地回环地址)发起的 WebSocket 连接。OpenClaw 的本地网关(Gateway)曾默认认为:既然请求来自localhost,那一定就是用户本人。因此,网关对来自本地的连接完全免除了频率限制(Rate Limiting)。攻击者在网页中嵌入的 JavaScript 脚本可以每秒尝试数百次密码猜测。对于弱密码或默认密码,破解通常在几秒钟内完成。(本地网关(Gateway)在设计上存在一个致命假设的原文"The vulnerability stemmed from OpenClaw's incorrect assumption that any connection originating fromlocalhost— or from within the computer itself — can be implicitly trusted.")
一旦密码匹配成功,脚本会静默地将攻击者的控制端注册为 OpenClaw 的“受信任节点”。此过程在后台完成,用户界面不会弹出任何确认窗口。
给予Ta“最高权限”的后果
由于 OpenClaw 的设计初衷是“代替用户操作一切”,一旦被劫持,攻击者等于拿到了你电脑的二号管理员权限。攻击者可以指令 Agent 搜索你的 Slack 聊天记录、读取浏览器 Cookie、翻阅本地敏感文件,隐私挖掘。获取你配置在 Agent 里的各种 API 密钥(如 OpenAI, Anthropic, AWS 密钥)。攻击者可以远程通过Agent 在你的系统终端(Shell)中执行任意代码,甚至控制连接到该 Agent 的其他 IoT 设备或手机。
修复
Oasis Security 提前向 OpenClaw 团队提交了 PoC(概念验证代码)。官方的反应极快,漏洞在v2026.2.25/26版本中被修复。强制引入了WebSocket Origin检查(只接受受信任域名的请求)和本地限速机制,并且所有的本地配对现在都必须手动点击弹窗确认。
Oasis 在报告结尾提出了一个深刻观点:AI Agent是企业中一种全新的“非人类身份(Non-human Identity)”。传统的安全治理是针对“人”或“静态程序”的,但 OpenClaw 这种“有身份、有凭证、能自主行动”的 Agent ,是安全合规之前没有关注到的漏洞。
如果你或你的团队在使用OpenClaw,请务必检查版本号。如果低于2026.2.26,建议立即断网并更新。
“影子AI、影子员工”带来的企业级风险
随着越来越多的北美员工开始利用 OpenClaw 自动化工作流,企业 IT、网络安全部门的焦虑达到顶峰。如:通过 Telegram 语音远程指挥代理进行代码 Debug、自动处理数千封邮件、甚至让代理通过 Android 辅助功能操控手机刷 TikTok。
小龙虾还没用明白呢,硅谷那边又出来了“IronClaw”钢铁虾。
你们还记得《Attention Is All You Need》的核心贡献者Illia Polosukhin嚒?
IronClaw 并不是一个松散的兴趣项目,其背后的力量非常雄厚,主要由Illia Polosukhin和NEAR AI团队发起并维护。
Illia 在 2026 年 3 月的 Reddit AMA 中提到,IronClaw 的诞生是为了实现“主权 AI(Sovereign AI)”——即用户应拥有并控制自己的AI 代理,而不是将隐私权拱手交给权限管理混乱的工具。
IronClaw明显产品思路是针对OpenClaw安全防御性升级版
IronClaw 的诞生带有明显的“拨乱反正”色彩,OpenClaw 因极高的自动化能力走红,但其 Node.js 架构和过于开放的权限设计导致了如ClawJacked 等严重漏洞。
NEAR AI 决定用Rust语言完全重写 OpenClaw 的核心逻辑,并在 2026 年 2 月正式推出IronClaw,定位为“安全、可审计、高性能的OpenClaw 替代品”。IronClaw 在功能上 100% 兼容 OpenClaw 的工作流,但在执行层做了彻底的隔离:
WASM插件沙箱(Wasm-based Sandboxing)
不同于 OpenClaw 直接在宿主机运行脚本,IronClaw 的所有工具(Tools)和技能(Skills)都在轻量级的WebAssembly容器中运行。即使某个 AI 技能被植入了恶意代码,它也无法访问你的本地文件系统或网络,除非你显式授权。
凭证脱敏注入(Credential Shielding)
用户的 API Key 或数据库密码存储在TEE(受信执行环境)或本地加密库中。AI 模型在生成指令时,永远看不到原始的 API 密钥。密钥只会在网络请求发出的那一刻,由 IronClaw 的安全网关自动注入。
企业级CRM与工作流自动化
继承并增强了OpenClaw 的业务处理能力。它可以直接调取你的Chrome Profile(带 Cookie 和登录状态)去领英抓取数据、自动填写表单,或通过DuckDB进行本地 SQL 数据分析。提供了名为"Coding Agent with Diffs"的功能。AI 修改代码后,会提供类似GitHub 的 Diff 视图供用户确认,而不是直接静默覆盖。
性能数据:得益于 Rust,IronClaw 的启动速度小于100ms(OpenClaw 需 2-5s),内存占用仅约15MB。
对于OPC的开发者来说,IronClaw 的出现标志着 AI 代理从“极客玩具”向“生产力工具”的合规化转变。
为啥OpenClaw有漏洞,我们抛开功能看本质
从底层逻辑和来看,OpenClaw的本质不仅仅是一个AI软件,它是一套“基于LLM的个人操作系统协议(Personal OS Protocol)”。
- 本质是“数字行为的封装与重放” (Encapsulation & Replay)。
传统的软件(如 Office 或浏览器)是静态工具,等待人类输入指令。它将人类在数字世界中的“意图”转化为了“可执行的原子操作”。它利用 LLM 的推理能力,将模糊的自然语言指令(如“帮我背调这个候选人”)拆解为一系列浏览器点击、搜索、读库和总结操作。它把原本碎片化的、需要人类手动操作的SOP(标准作业程序)变成了可编程的、可自动触发的数字资产。
本质是“非人类身份(Non-human Identity)”的载体
与传统爬虫或自动化脚本最本质的区别。传统脚本是死板的,一旦网站改版就失效。它像一个“拥有你数字指纹的虚拟员工”。它带有你的登录状态(Cookie)、你的历史记忆(Context)以及你的决策偏好。它代表了“代理权(Agency)”的转移。当你运行 OpenClaw 时,你不是在运行一个程序,而是在授权一个“数字分身”代行你的社会职能(如回邮件、投简历、处理金融交易)。
- 本质是“极度中心化的本地算力网关” (Centralized Local Gateway)
尽管它提倡开源,但它的设计初衷是成为你电脑里的唯一入口。它连接了你的文件系统、你的浏览器、你的 Slack 和你的终端。它试图取代传统的“开始菜单”或“桌面”。
OpenClaw 的本质决定了它的危险性,所以在刚刚过去的一周硅谷对他的争议会这么大。正因为它本质上是一个“全权代理”,所以它没有安全边界。
对开发者而言:它是一个Agentic Framework(代理框架)。对创业者、OPC一人公司而言:它是一个Individual Scalability Engine(个人规模化引擎),让一个人能像一家公司一样运作。对安全专家而言:它是一个Massive Attack Surface(巨大的攻击面)。
IronClaw与OpenClaw区别
从功能实现的角度来看,IronClaw与OpenClaw的功能高度一致,但在实现路径和安全性上存在本质区别。简单来说,IronClaw 可以被视为 OpenClaw 的“加固版”或“企业级重构版”。它在设计之初就追求100%兼容OpenClaw的工作流(Workflows),以便让用户能无缝迁移。
为什么IronClaw会感觉“更难用”一点?
由于加入了大量安全限制,你在初次使用 IronClaw 时可能会发现它比 OpenClaw 多了几个步骤,比如手动确认授权:第一次调用某个敏感 API(如 Stripe 或 AWS)时,IronClaw 会弹出硬件级别的确认窗口,而 OpenClaw 往往会静默执行。许多 OpenClaw 插件是即插即用的 JS 代码,而 IronClaw 推荐使用编译后的 Wasm 模块,这在开发自定义技能时门槛稍高。
开源社区治理的“吹哨人”vs卖铲子的只谈疗效不谈毒性的阶段性回避性宣传
就在刚刚的一周我们看到的大多数的卖铲子的人,给了陷入科技茫然的开发者们一剂强心针,觉得养龙虾就可以解决中年危机、解决科技带来的茫然无措、解决一切。
但没有吹哨人的开源社区,就好像一副没有说明书的猛药,回春了,但伤了肝肾。
OpenClaw 创始人 Peter Steinberger 的铁腕治理在 Discord 和 Reddit 上引发了激烈讨论。比如说他在官方 Discord 严厉禁止讨论任何加密货币甚至有用户因提到“Bitcoin”被直接封号。Steinberger 回应说这是为了保持社区对“纯粹 AI 开发”的专注,避免沦为投机者的宣传阵地。虽然随后他手动解封了一些误伤账号,但这一强硬立场在崇尚自由的开源社区中仍极具争议。
我们不盖棺定论,Openclaw好,还是Ironclaw好,毕竟这仅仅是Agent产品的在时代长河里某一个一闪而过的产品形式。也无论开源社区里吹哨人的哨声争议对错。但有非共识,有新产品出来,总是一件清醒的好事。
20260310
