前言
据 VentureBeat 在 RSAC 2026 大会上报道,OpenClaw 的公开实例已突破 50 万台。然而更令人担忧的是安全专家的警告:「它是我的 AI 了」—— 一家英国 CEO 发现自己的 OpenClaw 实例在 BreachForums 上被出售。
评测维度
OpenClaw 是由 Peter Steinberger 于 2025 年 11 月开发的 AI Agent 平台,其核心特点是本地化运行——AI Agent 直接在你的电脑上执行任务,访问文件、操作应用、与外设交互。
与纯云端 AI 不同,OpenClaw 赋予 AI 真正的「动手能力」,但这也带来了独特的安全挑战。
功能对比
攻击面急剧扩大
| 维度 | 传统 SaaS | OpenClaw |
|---|---|---|
| 数据位置 | 云端 | 用户本地 |
| 攻击难度 | 高(云安全) | 低(依赖用户设备安全) |
| 影响范围 | 账号/数据 | 完整设备控制权 |
真实案例:实例被标价出售
安全专家 Etay Maor 分享了一个真实案例:一名英国 CEO 发现自己的 OpenClaw 实例在暗网 BreachForums 上被标价出售。
这位 CEO 的 OpenClaw Agent 拥有其个人和商业数据的完整访问权限——邮件、财务记录、客户信息。一旦被恶意获取,后果不堪设想。
性能实测
企业级 vs 个人级
传统企业软件通常提供集中管理能力——管理员可以远程锁定设备、擦除数据、撤销访问权限。但 OpenClaw 作为个人 AI Agent 平台,缺乏这一机制。
Kill Switch 的缺失
OpenClaw 没有「企业 kill switch」,意味着:
- 无法远程禁用:企业 IT 无法在设备丢失或被盗时远程关闭 Agent
- 无法集中审计:无法追踪 Agent 在多少设备上访问了哪些数据
- 无法一键解绑:员工离职后,其 OpenClaw Agent 仍可能保留对工作数据的访问权限
这是设计哲学问题
OpenClaw 强调「它是你的 AI」——用户拥有完全的本地控制权。但当企业试图部署 OpenClaw 时,这一理念就变成了双刃剑。
易用性体验
高风险群体
| 群体 | 风险等级 | 原因 |
|---|---|---|
| 企业高管 | 🔴 极高 | 掌握商业机密、决策权限 |
| 研发人员 | 🔴 极高 | 代码、专利、技术文档 |
| 财务人员 | 🟠 高 | 财务数据、银行权限 |
| 普通员工 | 🟡 中 | 内部文档、通讯录 |
攻击路径
恶意攻击者获取 OpenClaw 实例的路径包括:
- 网络扫描:扫描暴露的 OpenClaw 实例
- 社会工程:诱导用户安装恶意 Skill
- 供应链攻击:篡改 Skill 商店
- 物理访问:直接使用已登录设备
定价分析
OpenClaw 是开源项目,核心功能免费使用。企业在评估成本时,主要考虑自托管服务器的运维成本、以及配套的企业安全方案(如 AI Agent MDM)的实施费用。OpenClaw 官方暂无公开的企业版定价,安全企业解决方案需联系厂商获取报价。
总结与选型建议
OpenClaw 的 50 万实例里程碑证明了本地 AI Agent 的市场需求,但安全风险同样不容忽视。在企业大规模采用之前,必须解决「没有 kill switch」这一致命盲区。
企业应对建议:短期应进行网络隔离和访问审计;中期推荐容器化部署并遵循最小权限原则;长期需推动行业建立 AI Agent MDM 标准。
对于个人用户:了解你的 Agent 能访问什么,不要在共享设备上使用 OpenClaw 处理敏感事务。