前言
据 VentureBeat 在 RSAC 2026 大会上报道,OpenClaw 的公开实例已突破 50 万台。然而更令人担忧的是安全专家的警告:「它是我的 AI 了」—— 一家英国 CEO 发现自己的 OpenClaw 实例在 BreachForums 上被出售。
什么是 OpenClaw?
OpenClaw 是由 Peter Steinberger 于 2025 年 11 月开发的 AI Agent 平台,其核心特点是本地化运行——AI Agent 直接在你的电脑上执行任务,访问文件、操作应用、与外设交互。
与纯云端 AI 不同,OpenClaw 赋予 AI 真正的「动手能力」,但这也带来了独特的安全挑战。
50 万实例意味着什么?
攻击面急剧扩大
| 维度 | 传统 SaaS | OpenClaw |
|---|---|---|
| 数据位置 | 云端 | 用户本地 |
| 攻击难度 | 高(云安全) | 低(依赖用户设备安全) |
| 影响范围 | 账号/数据 | 完整设备控制权 |
真实案例:实例被标价出售
安全专家 Etay Maor 分享了一个真实案例:一名英国 CEO 发现自己的 OpenClaw 实例在暗网 BreachForums 上被标价出售。
这位 CEO 的 OpenClaw Agent 拥有其个人和商业数据的完整访问权限——邮件、财务记录、客户信息。一旦被恶意获取,后果不堪设想。
核心安全盲区:没有 Kill Switch
企业级 vs 个人级
传统企业软件通常提供集中管理能力——管理员可以远程锁定设备、擦除数据、撤销访问权限。但 OpenClaw 作为个人 AI Agent 平台,缺乏这一机制。
Kill Switch 的缺失
OpenClaw 没有「企业 kill switch」,意味着:
- 无法远程禁用:企业 IT 无法在设备丢失或被盗时远程关闭 Agent
- 无法集中审计:无法追踪 Agent 在多少设备上访问了哪些数据
- 无法一键解绑:员工离职后,其 OpenClaw Agent 仍可能保留对工作数据的访问权限
这是设计哲学问题
OpenClaw 强调「它是你的 AI」——用户拥有完全的本地控制权。但当企业试图部署 OpenClaw 时,这一理念就变成了双刃剑。
谁在冒险?
高风险群体
| 群体 | 风险等级 | 原因 |
|---|---|---|
| 企业高管 | 🔴 极高 | 掌握商业机密、决策权限 |
| 研发人员 | 🔴 极高 | 代码、专利、技术文档 |
| 财务人员 | 🟠 高 | 财务数据、银行权限 |
| 普通员工 | 🟡 中 | 内部文档、通讯录 |
攻击路径
恶意攻击者获取 OpenClaw 实例的路径包括:
- 网络扫描:扫描暴露的 OpenClaw 实例
- 社会工程:诱导用户安装恶意 Skill
- 供应链攻击:篡改 Skill 商店
- 物理访问:直接使用已登录设备
企业如何应对?
短期措施
- 网络隔离:将 OpenClaw 设备与核心业务网络隔离
- 访问审计:记录 Agent 的所有文件访问操作
- 数据分类:限制 Agent 访问敏感数据
中期方案
- 容器化部署:在虚拟机或容器中运行 OpenClaw
- 最小权限原则:Agent 仅授予完成任务所需的最小权限
- 定期轮换:定期重新授权,避免长期访问权限积累
长期方向
行业需要类似「AI Agent MDM」(移动设备管理)的解决方案,让企业在享受本地 Agent 便利性的同时,保持必要的安全管控。
总结
OpenClaw 的 50 万实例里程碑证明了本地 AI Agent 的市场需求,但安全风险同样不容忽视。在企业大规模采用之前,必须解决「没有 kill switch」这一致命盲区。
对于个人用户:了解你的 Agent 能访问什么,不要在共享设备上使用 OpenClaw 处理敏感事务。
相关阅读: