據 AIbase 報道,Microsoft 近日就其人工智能助手 OpenClaw 發佈重要安全警告,明確指出該工具不應在標準個人或企業工作站上運行,而應僅部署於完全隔離的環境中。

OpenClaw 被設計爲可自主執行任務的 AI 代理。爲實現自動化操作,用戶需授予其對計算機系統和軟件的全面訪問權限,包括電子郵件、文件、在線服務及登錄憑據。這種“高權限+持久狀態(內存)”的運行模式,使其在功能強大的同時,也帶來了顯著的安全風險。

微軟 Defender 安全研究團隊在官方博客中指出,OpenClaw 應被視爲“具有持久憑據的不受信任代碼執行程序”。一旦遭到利用,攻擊者不僅可能竊取憑據和敏感數據,還可能通過篡改代理的持久記憶,使其在後續運行中持續執行惡意指令。

AI助教 機器人

微軟披露,OpenClaw 當前面臨兩類核心威脅:

第一,間接提示注入(Indirect Prompt Injection)。

攻擊者可將惡意指令隱藏在代理讀取的內容中,從而操控其工具調用或篡改其內存,進而長期影響其行爲。如果未設置嚴格的安全邊界,代理可能在不知情的情況下執行攻擊者意圖。

第二,技能惡意軟件(Skill-based Malware)。

OpenClaw 可從互聯網下載並運行代碼以擴展功能,這一機制可能成爲攻擊入口。攻擊者通過投遞含惡意代碼的“技能”模塊,實現遠程控制或植入後門。微軟強調,成功攻擊並不一定依賴傳統惡意軟件,也可能通過細微配置更改實現。

安全風險並非理論層面。近期,SecurityScorecard 旗下 STRIKE 威脅情報團隊發現,全球82個國家超過42,000個獨立 IP 地址暴露了 OpenClaw 控制面板,其中約50,000個實例存在遠程代碼執行(RCE)漏洞,攻擊者可直接控制宿主系統,用戶賬戶面臨被接管風險。

基於上述風險,微軟建議組織在專用虛擬機或獨立物理系統中進行測試與評估,運行環境應使用專用、非特權憑據,僅訪問非敏感數據,並建立持續監控與定期重建機制,避免在覈心生產系統中直接部署。

隨着自主代理型 AI 工具逐步進入實際應用場景,其安全邊界與治理體系正在成爲行業必須正視的問題。OpenClaw 的案例再次提醒企業:在擁抱 AI 自動化能力的同時,必須同步構建嚴格的隔離、權限與監控框架,否則強大的執行能力也可能成爲攻擊入口。