新加坡:新加坡資訊通信媒體發展局(IMDA)在周四(5月14日)發布的一份諮詢公告中提醒,用戶應避免在組織運行至關重要的核心系統中部署開源形式的 OpenClaw。
IMDA 指出,由於該工具具有實驗性質,將其部署在處理敏感數據的系統中可能會導致後果嚴重的錯誤。
此外,用戶應避免創建具有不受限訪問權限的單一「全能型」OpenClaw 智能體,而應使用多個角色定義明確且範圍狹窄的 AI 智能體。
以下是關於 OpenClaw 相關風險及安全使用方法的詳細分析。
什麼是 OpenClaw?
OpenClaw 是一種 AI 智能體(AI Agent)。與 ChatGPT 和 Claude 等主要負責回答問題的語言大模型不同,AI 智能體的設計初衷是執行任務。
在獲得用戶許可後,這些智能體可以打開應用程式、搜索信息、生成文檔,並在極少監督的情況下完成多步驟流程。
它可以自動化處理日常任務——例如從多個網站匯總研究資料、起草報告或電子郵件以及協調日程。
例如,企業可以用它來監控儀錶盤並創建報告,或在消息平台上響應客戶諮詢。
OpenClaw 由奧地利開發者 Peter Steinberger 創建。自 2025 年 11 月發布以來,其受歡迎程度呈爆炸式增長。
IMDA 在報告中提到,其中一個促成因素是 OpenClaw 極高的「開箱即用」便捷性。
該智能體能夠訪問文件和系統、與消息平台集成並自主開發技能,使其作為生產力助手極具吸引力。
新加坡科技設計大學(SUTD)學院數字能力中心的技術團隊負責人 Jacob Chen 先生表示,這些 AI 智能體基本上就是過去一個世紀以來科幻電影中想像的 AI 個人助手。
他以電影中鋼鐵俠的虛擬助手 Jarvis 為例,指出大多數用戶將 OpenClaw 安裝在備用電腦上,並將其連接到像 ChatGPT 或 Claude 這樣的大語言模型。
Chen 先生認為,OpenClaw 的強大之處不在於它能執行任務,而在於它能研究出如何完成之前無法做到的事情——或者說,它能自主構建自己的技能。
例如,默認版本的 OpenClaw 無法處理視頻,因為大語言模型不能直接處理視頻。然而,如果用戶向 OpenClaw 發送一段視頻,它可能會在無需具體指令的情況下,自行想出通過提取視頻截圖進行分析,或者提取音頻並將其轉錄為文字的方法。
潛在風險有哪些?
IMDA 表示,OpenClaw 起源於一個愛好者驅動的「氛圍編碼」(vibe-coding)項目,在發布前並未經過廣泛的安全測試。
它在發布時的安全控制非常有限——雖然更新版本已修復了許多漏洞,但新漏洞仍在頻繁出現。
默認情況下,OpenClaw 繼承了安裝它的用戶帳戶的所有權限。
IMDA 指出,除非開啟「沙箱」(Sandboxing)模式,否則該智能體可以訪問安裝電腦上的任何文件。
沙箱是一種網絡安全實踐,旨在創建一個隔離且安全的環境來運行、測試或分析不可信的程序。
如果 AI 智能體被攻破,攻擊者可能會獲得用戶所擁有的所有訪問權限。
例如,如果它連接到 Slack 等共享程序或應用,它可能會在無需額外身份驗證的情況下,接受頻道中任何參與者(包括潛在惡意攻擊者)的指令。
由於它依賴外部 AI 模型進行推理和規劃,OpenClaw 訪問的所有內容都可能被這些模型用作上下文,這意味著敏感數據可能會在用戶不知情的情況下被共享。
IMDA 認為,它所使用的「長期記憶」功能雖然使其成為高效的個人助手,但也增加了意外數據泄露的風險。
存儲記憶有助於它識別用戶偏好並維持工作上下文,從而提高效率和個性化程度。
但攻擊者可以利用這一點——通過電子郵件、網頁或文檔等外部內容在智能體的記憶中嵌入指令,從而操縱其行為。
這種手段被稱為「記憶中毒」(memory poisoning)。攻擊者可以隨時間推移碎片化地添加輸入,智能體將這些碎片存儲在長期記憶中,最終它們會組合成一套有害的指令。
新加坡理工學院(SIT)的 Goh Weihan 副教授解釋說,在實際操作中,用戶可能認為智能體只是在準備一份報告,但實際上它可能正在執行之前通過郵件或網頁潛伏的隱藏指令。
OpenClaw 還可以從外部來源學習技能,而這些技能通常由其他用戶創建且未經嚴格審核,這帶來了進一步的風險。
將此應用於實際場景:如果一個人允許 OpenClaw 訪問其個人電子郵箱,一旦智能體被攻破,其個人郵箱中的信息也將不再安全。
為了自動化任務,智能體需要了解關於你的所有信息,這讓它能給出非常聰明的答案。
「但問題就在於,正是這一點讓它變得非常危險,因為它現在擁有你日常生活中所有行為的上下文。它可以提供大量足以導致泄密的敏感信息,」Chen 先生說。
他補充道,一個能訪問個人郵件的 AI 智能體已經知道用戶在與誰聯繫。它可以冒充用戶,或者泄露聯繫人的信息。
即使個人僅將 OpenClaw 作為助手使用,這種訪問權限也可能暴露該個體在某家公司工作,從而引發一系列連鎖反應,危及整個組織。
Chen 先生表示,由於 OpenClaw 如此流行,許多人正試圖破解該應用並利用其漏洞。
「在目前這個時刻,它太火了,反而對自己不利,」他補充道。
SIT 的 Goh 副教授指出,智能體 AI 系統與普通 AI 的區別在於,它們可以從「提供建議」轉向「執行操作」。
「普通的 AI 聊天機器人可能會給出一個糟糕的答案,然後事情就結束了。但一個擁有郵件、文件、代碼庫或雲系統訪問權限的 AI 智能體,可能會根據那個糟糕的答案採取行動,」他補充道。
Goh 副教授認為,任何無意之失或惡意指令都可能產生巨大的現實影響,而不僅僅是一個錯誤的答案。他舉例稱,今年 2 月,一名 Meta AI 的安全研究員整個電子郵箱都被 OpenClaw 給刪除了。
該 AI 智能體似乎繞過了請求權限的安全指令,無視停止命令,刪除了數百封電子郵件。
如何安全使用?
為了安全使用 OpenClaw,IMDA 建議人們避免在關鍵任務環境(mission-critical environments)中部署其開源版本——專家們對此也持有相同觀點。
關鍵任務環境通常指對組織核心運營絕對至關重要的系統、流程或資產。如果這些環境受到影響,業務運營將立即停止,導致嚴重後果。
OpenClaw 的默認配置較為寬鬆,IMDA 強調用戶應僅使用可信的技能和來源。
IMDA 還建議用戶不要創建具有不受限訪問權限的「全能」智能體,並避免將其安裝在包含敏感數據的個人設備上。
智能體對文件和應用程式的訪問權限應限制在執行任務所需的特定範圍內,且在每個應用內能執行的操作也應受到限制。
用戶應設定人工審核檢查點。這應包括:財務交易、執行代碼、刪除關鍵數據或代表組織發送外部通信。
IMDA 表示,OpenClaw 凸顯了自主 AI 工具的快速進步,它們提供了巨大收益,但如果使用不慎,也會帶來真實風險。
「目標不是避而遠之,而是在明確的限制、問責機制和保障措施下使用自主智能體。」
Chen 先生提醒用戶,OpenClaw 仍然使用由 OpenAI 和 Anthropic 等供應商構建的大語言模型。
「他們聲稱不會將你的數據用於訓練,並且有隱私政策,但不能 100% 保證他們自己不會被攻破,或者他們沒有將數據用於其他目的,」他補充道。
在教導學生時,他提醒他們將 OpenClaw 視為一名「個人助手」或「實習生」。
Chen 先生建議,用戶應從低風險、易驗證的簡單任務開始。
「當你對它的能力更有信心,了解它的古怪之處後,再逐漸增加它的工作量,」他補充道。
他強調,用戶必須始終掌控智能體的行為和產出。
例如,他不建議讓智能體直接讀取你的收件箱或發送消息。
更好的做法是:由用戶篩選信息並發送給 OpenClaw,而不是直接將智能體連接到個人郵箱,儘管這降低了便捷性和自動化程度。
SIT 的 Goh 副教授建議,用戶應避免賦予 OpenClaw 執行不可逆操作的權限。
例如,用戶可以允許 OpenClaw 起草郵件,但必須由人類用戶審核並發送。
同樣,用戶可以讓 OpenClaw 建議如何清理文件夾,但絕不能在未經用戶批准的情況下允許其刪除文件。
