据 AIbase 报道,Microsoft 近日就其人工智能助手 OpenClaw 发布重要安全警告,明确指出该工具不应在标准个人或企业工作站上运行,而应仅部署于完全隔离的环境中。

OpenClaw 被设计为可自主执行任务的 AI 代理。为实现自动化操作,用户需授予其对计算机系统和软件的全面访问权限,包括电子邮件、文件、在线服务及登录凭据。这种“高权限+持久状态(内存)”的运行模式,使其在功能强大的同时,也带来了显著的安全风险。

微软 Defender 安全研究团队在官方博客中指出,OpenClaw 应被视为“具有持久凭据的不受信任代码执行程序”。一旦遭到利用,攻击者不仅可能窃取凭据和敏感数据,还可能通过篡改代理的持久记忆,使其在后续运行中持续执行恶意指令。

AI助教 机器人

微软披露,OpenClaw 当前面临两类核心威胁:

第一,间接提示注入(Indirect Prompt Injection)。

攻击者可将恶意指令隐藏在代理读取的内容中,从而操控其工具调用或篡改其内存,进而长期影响其行为。如果未设置严格的安全边界,代理可能在不知情的情况下执行攻击者意图。

第二,技能恶意软件(Skill-based Malware)。

OpenClaw 可从互联网下载并运行代码以扩展功能,这一机制可能成为攻击入口。攻击者通过投递含恶意代码的“技能”模块,实现远程控制或植入后门。微软强调,成功攻击并不一定依赖传统恶意软件,也可能通过细微配置更改实现。

安全风险并非理论层面。近期,SecurityScorecard 旗下 STRIKE 威胁情报团队发现,全球82个国家超过42,000个独立 IP 地址暴露了 OpenClaw 控制面板,其中约50,000个实例存在远程代码执行(RCE)漏洞,攻击者可直接控制宿主系统,用户账户面临被接管风险。

基于上述风险,微软建议组织在专用虚拟机或独立物理系统中进行测试与评估,运行环境应使用专用、非特权凭据,仅访问非敏感数据,并建立持续监控与定期重建机制,避免在核心生产系统中直接部署。

随着自主代理型 AI 工具逐步进入实际应用场景,其安全边界与治理体系正在成为行业必须正视的问题。OpenClaw 的案例再次提醒企业:在拥抱 AI 自动化能力的同时,必须同步构建严格的隔离、权限与监控框架,否则强大的执行能力也可能成为攻击入口。