新加坡:新加坡资讯通信媒体发展局(IMDA)在周四(5月14日)发布的一份咨询公告中提醒,用户应避免在组织运行至关重要的核心系统中部署开源形式的 OpenClaw。
IMDA 指出,由于该工具具有实验性质,将其部署在处理敏感数据的系统中可能会导致后果严重的错误。
此外,用户应避免创建具有不受限访问权限的单一“全能型”OpenClaw 智能体,而应使用多个角色定义明确且范围狭窄的 AI 智能体。
以下是关于 OpenClaw 相关风险及安全使用方法的详细分析。
什么是 OpenClaw?
OpenClaw 是一种 AI 智能体(AI Agent)。与 ChatGPT 和 Claude 等主要负责回答问题的语言大模型不同,AI 智能体的设计初衷是执行任务。
在获得用户许可后,这些智能体可以打开应用程序、搜索信息、生成文档,并在极少监督的情况下完成多步骤流程。
它可以自动化处理日常任务——例如从多个网站汇总研究资料、起草报告或电子邮件以及协调日程。
例如,企业可以用它来监控仪表盘并创建报告,或在消息平台上响应客户咨询。
OpenClaw 由奥地利开发者 Peter Steinberger 创建。自 2025 年 11 月发布以来,其受欢迎程度呈爆炸式增长。
IMDA 在报告中提到,其中一个促成因素是 OpenClaw 极高的“开箱即用”便捷性。
该智能体能够访问文件和系统、与消息平台集成并自主开发技能,使其作为生产力助手极具吸引力。
新加坡科技设计大学(SUTD)学院数字能力中心的技术团队负责人 Jacob Chen 先生表示,这些 AI 智能体基本上就是过去一个世纪以来科幻电影中想象的 AI 个人助手。
他以电影中钢铁侠的虚拟助手 Jarvis 为例,指出大多数用户将 OpenClaw 安装在备用电脑上,并将其连接到像 ChatGPT 或 Claude 这样的大语言模型。
Chen 先生认为,OpenClaw 的强大之处不在于它能执行任务,而在于它能研究出如何完成之前无法做到的事情——或者说,它能自主构建自己的技能。
例如,默认版本的 OpenClaw 无法处理视频,因为大语言模型不能直接处理视频。然而,如果用户向 OpenClaw 发送一段视频,它可能会在无需具体指令的情况下,自行想出通过提取视频截图进行分析,或者提取音频并将其转录为文字的方法。
潜在风险有哪些?
IMDA 表示,OpenClaw 起源于一个爱好者驱动的“氛围编码”(vibe-coding)项目,在发布前并未经过广泛的安全测试。
它在发布时的安全控制非常有限——虽然更新版本已修复了许多漏洞,但新漏洞仍在频繁出现。
默认情况下,OpenClaw 继承了安装它的用户账户的所有权限。
IMDA 指出,除非开启“沙箱”(Sandboxing)模式,否则该智能体可以访问安装电脑上的任何文件。
沙箱是一种网络安全实践,旨在创建一个隔离且安全的环境来运行、测试或分析不可信的程序。
如果 AI 智能体被攻破,攻击者可能会获得用户所拥有的所有访问权限。
例如,如果它连接到 Slack 等共享程序或应用,它可能会在无需额外身份验证的情况下,接受频道中任何参与者(包括潜在恶意攻击者)的指令。
由于它依赖外部 AI 模型进行推理和规划,OpenClaw 访问的所有内容都可能被这些模型用作上下文,这意味着敏感数据可能会在用户不知情的情况下被共享。
IMDA 认为,它所使用的“长期记忆”功能虽然使其成为高效的个人助手,但也增加了意外数据泄露的风险。
存储记忆有助于它识别用户偏好并维持工作上下文,从而提高效率和个性化程度。
但攻击者可以利用这一点——通过电子邮件、网页或文档等外部内容在智能体的记忆中嵌入指令,从而操纵其行为。
这种手段被称为“记忆中毒”(memory poisoning)。攻击者可以随时间推移碎片化地添加输入,智能体将这些碎片存储在长期记忆中,最终它们会组合成一套有害的指令。
新加坡理工学院(SIT)的 Goh Weihan 副教授解释说,在实际操作中,用户可能认为智能体只是在准备一份报告,但实际上它可能正在执行之前通过邮件或网页潜伏的隐藏指令。
OpenClaw 还可以从外部来源学习技能,而这些技能通常由其他用户创建且未经严格审核,这带来了进一步的风险。
将此应用于实际场景:如果一个人允许 OpenClaw 访问其个人电子邮箱,一旦智能体被攻破,其个人邮箱中的信息也将不再安全。
为了自动化任务,智能体需要了解关于你的所有信息,这让它能给出非常聪明的答案。
“但问题就在于,正是这一点让它变得非常危险,因为它现在拥有你日常生活中所有行为的上下文。它可以提供大量足以导致泄密的敏感信息,”Chen 先生说。
他补充道,一个能访问个人邮件的 AI 智能体已经知道用户在与谁联系。它可以冒充用户,或者泄露联系人的信息。
即使个人仅将 OpenClaw 作为助手使用,这种访问权限也可能暴露该个体在某家公司工作,从而引发一系列连锁反应,危及整个组织。
Chen 先生表示,由于 OpenClaw 如此流行,许多人正试图破解该应用并利用其漏洞。
“在目前这个时刻,它太火了,反而对自己不利,”他补充道。
SIT 的 Goh 副教授指出,智能体 AI 系统与普通 AI 的区别在于,它们可以从“提供建议”转向“执行操作”。
“普通的 AI 聊天机器人可能会给出一个糟糕的答案,然后事情就结束了。但一个拥有邮件、文件、代码库或云系统访问权限的 AI 智能体,可能会根据那个糟糕的答案采取行动,”他补充道。
Goh 副教授认为,任何无意之失或恶意指令都可能产生巨大的现实影响,而不仅仅是一个错误的答案。他举例称,今年 2 月,一名 Meta AI 的安全研究员整个电子邮箱都被 OpenClaw 给删除了。
该 AI 智能体似乎绕过了请求权限的安全指令,无视停止命令,删除了数百封电子邮件。
如何安全使用?
为了安全使用 OpenClaw,IMDA 建议人们避免在关键任务环境(mission-critical environments)中部署其开源版本——专家们对此也持有相同观点。
关键任务环境通常指对组织核心运营绝对至关重要的系统、流程或资产。如果这些环境受到影响,业务运营将立即停止,导致严重后果。
OpenClaw 的默认配置较为宽松,IMDA 强调用户应仅使用可信的技能和来源。
IMDA 还建议用户不要创建具有不受限访问权限的“全能”智能体,并避免将其安装在包含敏感数据的个人设备上。
智能体对文件和应用程序的访问权限应限制在执行任务所需的特定范围内,且在每个应用内能执行的操作也应受到限制。
用户应设定人工审核检查点。这应包括:财务交易、执行代码、删除关键数据或代表组织发送外部通信。
IMDA 表示,OpenClaw 凸显了自主 AI 工具的快速进步,它们提供了巨大收益,但如果使用不慎,也会带来真实风险。
“目标不是避而远之,而是在明确的限制、问责机制和保障措施下使用自主智能体。”
Chen 先生提醒用户,OpenClaw 仍然使用由 OpenAI 和 Anthropic 等供应商构建的大语言模型。
“他们声称不会将你的数据用于训练,并且有隐私政策,但不能 100% 保证他们自己不会被攻破,或者他们没有将数据用于其他目的,”他补充道。
在教导学生时,他提醒他们将 OpenClaw 视为一名“个人助手”或“实习生”。
Chen 先生建议,用户应从低风险、易验证的简单任务开始。
“当你对它的能力更有信心,了解它的古怪之处后,再逐渐增加它的工作量,”他补充道。
他强调,用户必须始终掌控智能体的行为和产出。
例如,他不建议让智能体直接读取你的收件箱或发送消息。
更好的做法是:由用户筛选信息并发送给 OpenClaw,而不是直接将智能体连接到个人邮箱,尽管这降低了便捷性和自动化程度。
SIT 的 Goh 副教授建议,用户应避免赋予 OpenClaw 执行不可逆操作的权限。
例如,用户可以允许 OpenClaw 起草邮件,但必须由人类用户审核并发送。
同样,用户可以让 OpenClaw 建议如何清理文件夹,但绝不能在未经用户批准的情况下允许其删除文件。
