来稿作者：苏小龙

最近身边朋友见面的问候语变成了：“你装龙虾了吗？”——“龙虾”是OpenClaw的暱称，这个AI Agent在程式码分享平台已在GitHub上拿了36万颗星，从开发者圈子一路破圈到普通人日常生活。它能规划任务、执行指令、读写档案、调用API。它不只是回答问题，而是真正“动手做事”，更有不少企业尝试用于构建“数码员工”。

自主权愈大风险愈高

但正因为它会动手，问题来了。一个只会说话的AI，顶多给你一个错误的建议；但一个会动手的AI，一旦被利用，便可能在你毫不知情的情况下删除档案、窃取密码，甚至接管整个系统。

这不是危言耸听，而是AI Agent的本质所决定的——它的风险大小，从来不取决于它有多聪明，而取决于它被授权执行多少动作。

当OpenClaw处理的是来历不明的外部数据、连接的是公共互联网、存取的是最敏感的资讯，这把“双刃剑”究竟有多锋利，一旦失控将造成怎样的灾难，恐怕大多数用户从未认真想过。

用户资料安全面临威胁

对普通用户而言，最切身的威胁主要来自两个方向。

第一是“恶意Skill投毒”（Skill Poisoning）。OpenClaw的社区平台ClawHub上有大量用户开发的Skills插件，安装后即可扩展功能。然而数据显示，恶意插件的数量在短短数周内飙升至超过800个，增幅高达142%。这些伪装成实用工具的插件，实际上却在暗中窃取浏览器会话、密码，甚至加密货币钱包。对一般用户而言，要分辨一个插件究竟是“帮手”还是“内鬼”，几乎无从判断。

其二，是更为隐蔽的“提示词注入”（Prompt Injection）攻击。攻击者将恶意指令嵌入一个看似普通的网页或电邮当中，表面上毫无异样。但当OpenClaw读取这些内容时，便会在后台静默执行攻击者预设的命令。安全研究人员已经实测证明，仅凭网页和电邮中的隐藏指令，便足以完整控制目标OpenClaw。香港网络安全事故协调中心上月已就此发出紧急提醒，多家安全机构建议：切勿在含有敏感数据的系统上运行OpenClaw。

换言之，你以为自己在用AI提升效率，但这个AI可能已成为不法之徒的傀儡。

“混淆代理”漏洞威胁企业

当OpenClaw的应用场景从个人延伸至企业，安全问题便从个人风险升级为系统性危机。企业将AIAgent接入全局知识库，并赋予其高级存取权限，称之为“数码员工”。一名本来无权查阅机密资料的员工，只需透过巧妙的对话诱导，便可借助Agent的权限“绕道”获取原本无法接触的数据。这便是所谓的“混淆代理”漏洞（Confused deputy problem）——利用AI本身拥有的高安全权限，恶意引导AI去获取原本无权查看的机密资料，AI在不知不觉间沦为内应，而利用它的人甚至不需要掌握任何黑客技术。

目前有超过22万个OpenClaw实例（在云端上独立运行的虚拟机器）直接暴露于公共互联网之上，当中不少以最高权限运行、采用弱密码验证，甚至将服务绑定至非本地网络地址。这些在企业环境中屡见不鲜的配置疏忽，无异于敞开大门。截至2026年3月，OpenClaw被记录在案的81个资讯安全系统漏洞中，62.9%属严重或高危级别，涵盖认证绕过、任意档案读取及远程命令执行等重大隐患。当这些漏洞与不安全的企业配置相叠加，攻击者便可轻易绕过验证，直接接管基础设施。

为“数码员工”订造防线

风险既已摆在眼前，与其回避不如正面应对。笔者认为，企业需要为这位“数码员工”建立一套度身订造的纵深防御体系，而非寄望于任何单一措施。

针对插件投毒，企业应建立自行管理的私有Skills仓库，所有插件入库前须经过安全扫描，可疑者则先置于沙盒环境中隔离观察，切忌贪图方便随意安装。

针对提示词注入，需在数据处理流程的多个环节设置内容过滤，拦截隐藏于网页或文件中的恶意指令。在架构层面，更应实施多层Agent隔离——将负责核心任务编排的主Agent与处理外部不可信数据的子Agent分离，确保即使外围受到污染，核心系统亦不会被波及。

针对权限越权，应建立统一的存取闸道作为唯一入口，配合身份传播机制，确保Agent每次存取后端系统时均会验证最终用户的真实身份，而非凭借自身的高权限代为执行任何操作。

针对暴露与配置问题，透过私有网络隔离使实例在公网上彻底“隐形”；内部则落实最小权限原则，辅以持续的运行时监控，实现实时告警与自动响应。

至于底层漏洞，并无捷径可言——以隔离的容器或虚拟机进行部署，配合定期自动化漏洞扫描与及时更新补丁，这是最基本却也是最多人忽略的一步。

拥抱龙虾请先穿好盔甲

上述每一项防护措施，若由企业从零搭建，将耗费庞大的研发与维护成本，严重拖慢AI应用的上市时间。事实上，在AI时代成熟的云端服务提供商早已扮演起“全栈AI基建”的赋能者角色。私有网络隔离、密钥动态轮转、语义层面的实时过滤——这些企业级的安全模块在云端架构中已是“开箱即用”。愈来愈多具备前瞻视野的企业正透过云端原生的安全框架，将基础设施防护与模型应用无缝整合，在确保安全合规的前提下，加速释放AI的商业价值。

路已经有人在走，问题只在于你是否愿意踏出这一步。

AI Agent的时代已然来临，OpenClaw的爆红便是最好的证明。笔者从来不拒绝新鲜事物，相反，这个工具的潜力确实令人振奋。但振奋之余，我们必须正视一个事实：你赋予AI多大的自主权，就必须配备多完善的安全护栏，没有例外。下次有人问你“装龙虾了吗”，你当然可以答“装了”。但在那之前，请先确保你的龙虾穿上盔甲。

作者苏小龙是AmazonWebServices香港业务总经理。

文章仅属作者意见，不代表香港01立场。

01论坛欢迎投稿。请电邮至01view@hk01.com，附上作者真实姓名、自我简介及联络方法。若不适用，恕不另行通知。香港01保留最终编辑权。