Microsoft 近日就 AI 助手 OpenClaw 发布安全警告,明确其不应在标准个人或企业工作站上运行,仅适合部署于完全隔离的环境。
OpenClaw 为可自主执行任务的代理,需获得对系统、邮件、文件及登录凭据等的全面访问权限,并保持持久状态(内存)。微软 Defender 团队将其类比为「具有持久凭据的不受信任代码执行程序」:一旦被利用,攻击者可能窃取凭据与敏感数据,并篡改代理的持久记忆,使其在后续运行中持续执行恶意指令。
微软指出当前主要有两类威胁:
- 间接提示注入:恶意指令隐藏在代理所读内容中,可操控其工具调用或篡改内存,在未设严格安全边界时,代理可能在不知情下执行攻击者意图。
- 技能恶意软件:OpenClaw 可从互联网下载并运行代码以扩展功能;攻击者通过投递含恶意代码的「技能」模块实现远程控制或后门,攻击未必依赖传统恶意软件,也可能通过细微配置更改达成。
实际风险已显现:SecurityScorecard 旗下 STRIKE 团队发现,全球 82 国超过 4.2 万个独立 IP 暴露 OpenClaw 控制面板,其中约 5 万个实例存在**远程代码执行(RCE)**漏洞,攻击者可直接控制宿主系统并接管用户账户。
微软建议在专用虚拟机或独立物理系统中测试与评估,使用专用、非特权凭据,仅访问非敏感数据,并建立持续监控与定期重建机制,避免在核心生产系统中直接部署。自主代理型 AI 的安全边界与治理,已成为企业必须正视的问题。