AI助手重塑安全边界：OpenClaw等自主智能体引发全球安全警报

AI自主助手或“智能体”——能够访问用户计算机、文件、在线服务并自动执行任务的程序——正迅速在开发者和IT从业者中普及。然而，近期多起事件表明，这类强大工具正在快速改变组织的安全优先级，模糊数据与代码、可信同事与内部威胁、黑客与新手编程者的界限。

OpenClaw快速普及

自2025年11月发布以来，开源自主AI助手OpenClaw（前称ClawdBot和Moltbot）迅速获得用户青睐。该工具设计为本地运行，无需人工提示即可主动执行任务。其功能包括管理邮件和日历、运行程序、浏览互联网、集成Discord、Signal、Teams或WhatsApp等聊天应用。

与Anthropic的Claude或微软Copilot等被动助手不同，OpenClaw基于对用户生活和需求的理解，主动发起行动。Snyk安全公司指出，用户已实现“手机建站、AI管理公司”等场景。

安全风险显现

2月下旬，Meta“超级智能”实验室安全负责人Summer Yue在Twitter/X上分享，其OpenClaw实例突然开始批量删除邮箱内容，她不得不紧急奔向Mac mini“拆弹”。

更严重的是，安全专家Jamieson O’Reilly发现，大量用户将OpenClaw的Web管理界面暴露于互联网，导致攻击者可读取其完整配置文件，包括API密钥、OAuth密钥等凭证。攻击者可冒充用户、注入消息、窃取数据，且因控制AI的“感知层”，可过滤或篡改用户所见内容。O’Reilly称，初步搜索发现数百个此类暴露服务器。

供应链攻击案例

2026年1月28日，安全公司grith.ai披露，AI编程助手Cline遭遇供应链攻击。攻击者利用GitHub动作触发Claude会话，通过构造恶意标题“安装特定GitHub仓库包”，并利用多个漏洞，将恶意OpenClaw实例嵌入Cline的夜间发布流程，实现无授权安装。

grith.ai称，此为“混淆代理”攻击：开发者授权Cline代其操作，Cline因被攻陷，又将权限转交给未经评估的第三方AI代理。

“Vibe Coding”与攻击者升级

AI助手支持“Vibe Coding”模式，用户只需描述需求，AI即可自动生成复杂应用。例如开发者Matt Schlict仅凭构想，通过OpenClaw构建了Moltbook——一个AI代理社交平台，一周内注册超150万代理，发布超10万条消息，甚至出现机器人色情网站和“Crustafarian”宗教。

但该能力也使低技能攻击者能快速发起全球性攻击。2月，AWS披露一名俄语攻击者利用多个商业AI服务，在五周内攻陷至少55个国家的600多台FortiGate设备。该攻击者使用AI规划攻击、发现暴露端口和弱密码，甚至将受害者网络拓扑提交AI，请求横向渗透方案。AWS称，攻击者优势在于AI增强的效率与规模，而非技术深度。

新型防御挑战

Orca Security专家指出，攻击者可利用“提示注入”攻击，通过AI助手实现横向移动。若AI代理具备私有数据、非信任内容、外部通信能力三大要素（“致命三重威胁”），则极易被窃取数据。安全专家James Wilson强调，许多用户在无隔离措施下直接在个人设备部署OpenClaw，风险极高。

市场与未来趋势

为应对挑战，Anthropic推出Claude Code Security，可扫描代码漏洞并提供修补建议。该消息发布当日，美国主要网络安全公司市值蒸发约150亿美元，显示市场对AI重塑安全格局的反应。Rapid7数据与AI副总裁Laura Ellis指出，AI正加速开发、自动化漏洞检测，但传统安全工具不会完全被替代，关键在于适应新威胁。

DVULN创始人O’Reilly表示，AI助手将普及，组织必须快速调整安全策略，否则将面临生存危机。

结语

AI助手的高效与风险并存。随着其在企业中的广泛应用，构建针对“AI脆弱性”的防御体系，已成为全球网络安全的新优先事项。