智東西
編譯 陳佳
編輯 程茜

智東西4月4日消息，據(jù)外媒VentureBeat3月31日報道，全球頂級網(wǎng)絡(luò)安全大會2026年RSAC安全大會上，包括Cisco、Palo Alto Networks、Cato Networks和CrowdStrike在內(nèi)的四家網(wǎng)絡(luò)安全廠商發(fā)布了各自針對AI智能體安全風(fēng)險的應(yīng)對方案，但沒有一家給出企業(yè)最迫切需要的那個能力——一個能統(tǒng)一關(guān)掉它的開關(guān)。AI智能體治理仍停留在工具層補(bǔ)丁。截止4月3日，全球有超58萬個OpenClaw實例暴露在公網(wǎng)上。

終端安全廠商CrowdStrike數(shù)據(jù)顯示，企業(yè)終端中已運行超過1800種AI應(yīng)用、約1.6億個實例，AI工具的滲透速度已明顯超出安全團(tuán)隊的可見性邊界。多數(shù)企業(yè)甚至無法識別網(wǎng)絡(luò)中正在運行哪些AI智能體，影子AI和“幽靈智能體”開始成為攻擊者更容易利用的入口。

▲RSAC展廳實拍，能看到CrowdStrike、Cisco等網(wǎng)絡(luò)安全廠商的展臺（圖源：govtech）

網(wǎng)絡(luò)安全廠商Cato Networks威脅情報副總裁埃塔伊·馬奧爾（Etay Maor）在RSAC上說，整個行業(yè)把根級系統(tǒng)權(quán)限交給了AI智能體，卻把零信任、最小權(quán)限這些基本安全原則一并丟掉了。

2月22日，一位英國CEO名下的OpenClaw AI實例被攻擊者在黑客論壇BreachForums上以2.5萬美元被掛牌售賣，出售的核心并不是電腦權(quán)限本身，而是這個AI智能體所掌握的全部信息。

▲BreachForums論壇上名為“fluffyduck”的攻擊者的掛售截圖

買家可獲取該CEO與AI的全部對話記錄、企業(yè)完整生產(chǎn)數(shù)據(jù)庫、電報機(jī)器人密鑰、212 API密鑰，以及給CEO向AI透露的家庭、財務(wù)等私人信息。該攻擊者稱，這名CEO當(dāng)時仍在實時使用OpenClaw，因此這份售賣資源是實時情報數(shù)據(jù)流，而非靜態(tài)的打包數(shù)據(jù)。

這位CEO的OpenClaw實例將所有數(shù)據(jù)以純文本標(biāo)記語言文件形式，存儲在～/.openclaw/workspace/目錄下，且靜態(tài)存儲數(shù)據(jù)未做任何加密處理。攻擊者無需額外竊取數(shù)據(jù)，所有核心信息早已被整合完畢。企業(yè)安全團(tuán)隊發(fā)現(xiàn)數(shù)據(jù)泄露后，既沒有原生的企業(yè)級緊急關(guān)停功能，也無統(tǒng)一管理控制臺，更無法統(tǒng)計企業(yè)內(nèi)部還運行著多少個同類實例。

一、AI智能體拿到了最高權(quán)限，安全防護(hù)卻形同虛設(shè)

OpenClaw由奧地利開發(fā)者彼得·施坦伯格（Peter Steinberger）于2025年11月創(chuàng)建，最初叫Clawdbot，因商標(biāo)糾紛先后改名為Moltbot和OpenClaw。

2026年1月底正式定名OpenClaw后，項目在GitHub上增長迅猛，3天內(nèi)獲得超過6萬顆星，至2026年3月星標(biāo)數(shù)已突破33萬。

2026年2月，施坦伯格以人才引進(jìn)的方式加入OpenAI，OpenClaw隨即移交獨立開源基金會運營，代碼繼續(xù)以MIT協(xié)議開放。

這款工具的核心設(shè)計是在用戶本地機(jī)器上持續(xù)運行，連接外部大語言模型進(jìn)行推理，通過WhatsApp、Telegram、Slack、iMessage等用戶已經(jīng)在用的消息應(yīng)用接收指令。

它的能力邊界幾乎等于宿主機(jī)本身：可以執(zhí)行終端命令、讀寫任意文件、控制瀏覽器、訪問郵件和日歷、調(diào)用已安裝的各類應(yīng)用。

讓它如此強(qiáng)大的設(shè)計，也讓它成為一個極難管控的風(fēng)險點。OpenClaw通過一個叫ClawHub的公開市場分發(fā)“技能”，這些技能本質(zhì)上是可執(zhí)行的代碼包，用戶安裝后可以擴(kuò)展功能。但審核機(jī)制有限，2026年2月底的安全審計發(fā)現(xiàn)ClawHub上約20%的技能含有惡意代碼或過度權(quán)限請求。

更關(guān)鍵的是，OpenClaw沒有企業(yè)管理平面，沒有集中的部署記錄，沒有統(tǒng)一的配置接口，IT團(tuán)隊根本無從知曉組織內(nèi)有多少實例在運行、各自連接了哪些系統(tǒng)、安裝了哪些技能。

▲OpenClaw的安全記錄（智東西根據(jù)Cato CTRL制圖）

二、超58萬個OpenClaw實例暴露公網(wǎng)，三個高危漏洞無人集中打補(bǔ)丁

在互聯(lián)網(wǎng)情報搜索平臺Censys上實時查詢“OpenClaw”，結(jié)果顯示全球共有超58萬個相關(guān)實例暴露在公網(wǎng)上。截至發(fā)稿，暴露實例數(shù)量仍在持續(xù)增長。

▲Censys平臺公開暴露的OpenClaw實例

搜索結(jié)果第一條就是一個典型案例。一個IP地址為162.14.124.62、端口18789的OpenClaw實例完全暴露在公網(wǎng)。該實例通過HTTP明文協(xié)議對外開放，無任何加密傳輸，瀏覽器信任狀態(tài)標(biāo)注為No Data，證書有效性標(biāo)注為Unknown。

這意味著任何人只需在瀏覽器地址欄輸入該IP和端口，無需賬號、無需密碼，即可直接打開這臺機(jī)器上的OpenClaw控制面板。

互聯(lián)網(wǎng)設(shè)備搜索引擎Shodan的結(jié)果顯示，截至2026年4月3日，Shodan顯示全球共有12.8萬個OpenClaw實例直接暴露在公網(wǎng)上，其中美國3.89萬個、中國2.27萬個、德國1.4萬個、新加坡9556個、英國8605個。

▲Shodan平臺上公開暴露的OpenClaw實例

網(wǎng)絡(luò)安全廠商Cato Networks威脅情報團(tuán)隊Cato CTRL此前記錄的英國CEO入侵案例中，攻擊者之所以能夠訪問目標(biāo)的AI助理，正是因為OpenClaw實例在沒有任何網(wǎng)絡(luò)隔離保護(hù)的情況下運行。

OpenClaw目前已有三個高危漏洞被公開披露。

CVE-2026-24763評分8.8，攻擊路徑是通過Docker容器的環(huán)境變量處理機(jī)制注入任意命令，使攻擊者能在宿主機(jī)上執(zhí)行代碼。

CVE-2026-25157評分7.7，通過SSH連接字符串注入系統(tǒng)命令。

CVE-2026-25253評分8.8，攻擊者只需誘導(dǎo)用戶訪問一個惡意網(wǎng)頁，即可竊取認(rèn)證令牌，隨后繞過驗證、突破容器隔離，在宿主機(jī)上執(zhí)行任意命令。

▲開源AI供應(yīng)鏈攻擊流程圖，展示攻擊者如何通過訓(xùn)練數(shù)據(jù)、模型接口和腳手架發(fā)起攻擊（圖源：Trend Micro）

這三個漏洞雖已發(fā)布補(bǔ)丁，但OpenClaw沒有企業(yè)級管理平臺、無統(tǒng)一補(bǔ)丁推送機(jī)制，也無全域關(guān)停功能。管理員只能手動逐個更新實例，且絕大多數(shù)實例至今未完成修復(fù)。

三、安全團(tuán)隊缺乏基礎(chǔ)可見性，攻擊發(fā)生時連哪些AI在跑都不知道

終端安全廠商CrowdStrike的Falcon傳感器在企業(yè)用戶中已經(jīng)監(jiān)測到超過1800種不同的AI應(yīng)用，從大家熟悉的ChatGPT、Copilot，到新興的OpenClaw本地AI助手，總共產(chǎn)生了約1.6億個運行實例。AI工具的企業(yè)滲透速度已經(jīng)遠(yuǎn)超安全團(tuán)隊的可見性邊界。

▲CrowdStrike Falcon AI可視化界面，展示企業(yè)AI應(yīng)用使用態(tài)勢與數(shù)據(jù)流向（圖源：Cybersecurity Asia）

其中，最受關(guān)注的案例是名為ClawHavoc的惡意“技能”（插件）。這些惡意插件通過OpenClaw的技能市場ClawHub傳播，看似正常的工具卻暗藏后門。OWASP（全球知名的應(yīng)用安全項目）已將其列為AI智能體技能安全風(fēng)險Top 10的主要案例研究。

CrowdStrike CEO喬治·科茲（George Kurtz）在2026年RSAC安全大會的主題演講中明確說，這是AI智能體生態(tài)系統(tǒng)遭受的首次大規(guī)模供應(yīng)鏈攻擊，攻擊者不再直接黑入電腦，而是通過看似合法的AI插件悄悄入侵。

網(wǎng)絡(luò)安全廠商Cato Networks威脅情報副總裁馬奧爾用OODA框架剖析了安全可視性缺失的問題：觀察（Observe）、判斷（Orient）、決策（Decide）、行動（Act）。

▲網(wǎng)絡(luò)OODA循環(huán)框架圖，展示Observe-Orient-Decide-Act四個決策階段（圖源：Planet IT）

他說，大多數(shù)企業(yè)現(xiàn)在連第一步都沒做到，安全團(tuán)隊根本不知道網(wǎng)絡(luò)里跑著哪些AI工具。員工出于提升效率的目的悄悄安裝，工具就成了安全團(tuán)隊看不見的影子AI，而攻擊者看得見。

▲影子AI概念圖，展示經(jīng)批準(zhǔn)AI工具與影子AI在數(shù)據(jù)保護(hù)、可見性、合規(guī)性方面的差異（圖源：AppOmni）

馬奧爾還特別指出“幽靈智能體”問題：企業(yè)引入AI工具完成試點后，熱情消退，項目擱置，但工具帶著所有憑證繼續(xù)在網(wǎng)絡(luò)中運行，沒有人負(fù)責(zé)、沒有人監(jiān)控、也沒有人想起來關(guān)掉它。

他的建議是，像管理員工一樣管理智能體：入職時登記、運行中監(jiān)控、離職時清除，沒有業(yè)務(wù)理由繼續(xù)運行的，直接下線。

四、Cisco推出DefenseClaw等工具，覆蓋插件掃描、運行監(jiān)控、攻擊測試和身份管理

網(wǎng)絡(luò)設(shè)備與安全廠商Cisco執(zhí)行副總裁兼安全與協(xié)作業(yè)務(wù)總經(jīng)理杰圖·帕特爾（Jeetu Patel）在RSAC 2026上說，向智能體委托任務(wù)和向智能體可信委托任務(wù)之間只有一字之差，結(jié)局天壤之別，輕則企業(yè)破產(chǎn)，重則掌控市場。

Cisco在大會上發(fā)布了三項免費開源安全工具。DefenseClaw是其中的核心框架，將四個功能組件打包在一起：Skills Scanner用于掃描已安裝技能的安全風(fēng)險，MCP Scanner檢查模型上下文協(xié)議服務(wù)器的安全狀態(tài)，AI BoM生成AI軟件物料清單，CodeGuard提供代碼層面的安全檢測。

▲DefenseClaw GitHub開源倉庫，項目已獲得數(shù)百星標(biāo)（圖源：GitHub）

整個框架運行在英偉達(dá)于RSAC前一周的GTC大會上發(fā)布的OpenShell安全容器環(huán)境中。帕特爾說，每次在OpenShell容器中激活一個智能體，DefenseClaw的所有安全服務(wù)都會自動啟動，不需要額外配置。

AI Defense Explorer Edition是Cisco算法紅隊引擎的免費自助版本，可以針對超過200個風(fēng)險子類別，對任意AI模型或智能體進(jìn)行提示注入和越獄測試。LLM安全排行榜則以對抗魯棒性而非常規(guī)性能指標(biāo)來評估基礎(chǔ)模型，給企業(yè)選型提供了另一個參考維度。

在身份管理層面，Cisco推出了Duo智能體身份管理，將AI智能體注冊為具有時限權(quán)限的身份對象，使其在企業(yè)身份體系中有據(jù)可查；Identity Intelligence通過網(wǎng)絡(luò)流量監(jiān)控發(fā)現(xiàn)游走在管理范圍之外的影子智能體；Agent Runtime SDK則允許開發(fā)者在構(gòu)建階段就將安全策略嵌入智能體，而非等到部署后再打補(bǔ)丁。

五、Palo Alto發(fā)現(xiàn)800多個惡意技能，要求智能體注冊后運行并納入監(jiān)控

Palo Alto Networks的CEO尼凱什·阿羅拉（Nikesh Arora）在RSAC 2026前接受VentureBeat專訪時，將OpenClaw類工具的擴(kuò)散定性為一條全新的供應(yīng)鏈，運行在無監(jiān)管、無安全保障的公開市場上。

安全公司Koi在對ClawHub的初步審計中發(fā)現(xiàn)341個惡意技能，隨著注冊表持續(xù)擴(kuò)張，這一數(shù)字已增至824個；代碼安全公司Snyk的分析則顯示，受檢技能中有13.4%包含嚴(yán)重安全缺陷。

Palo Alto Networks圍繞這一判斷構(gòu)建了Prisma AIRS 3.0，核心是一套新的智能體注冊表機(jī)制：每個智能體在運行前必須完成登記，并經(jīng)過憑證驗證。

在此基礎(chǔ)上，Prisma AIRS 3.0還提供MCP網(wǎng)關(guān)流量控制、智能體紅隊測試和運行時內(nèi)存投毒監(jiān)控——內(nèi)存投毒是指攻擊者通過向AI的上下文記憶中注入惡意指令，悄悄改變智能體的行為，而用戶對此毫無察覺。

▲AI智能體安全架構(gòu)與風(fēng)險點（圖源：medium）

正在推進(jìn)中的對Koi的收購，將為Palo Alto Networks補(bǔ)上專門針對智能體端點的供應(yīng)鏈可見性能力。

阿羅拉將智能體端點定義為一個獨立的安全品類，邏輯是：傳統(tǒng)端點安全管的是人操作的設(shè)備，而智能體端點管的是代替人行動的軟件實體，兩者的威脅模型、權(quán)限邊界和監(jiān)控邏輯都不相同，不能套用同一套框架。

六、Cato提出“Living Off AI”攻擊路徑，未納管智能體是最大安全盲區(qū)

網(wǎng)絡(luò)安全廠商Cato Networks的威脅情報團(tuán)隊Cato CTRL發(fā)布了《2026年Cato CTRL威脅報告》。報告中包含一個針對軟件公司Atlassian旗下產(chǎn)品線的概念驗證攻擊，具體目標(biāo)是Atlassian的模型上下文協(xié)議（MCP）接口和項目管理工具Jira Service Management。

攻擊方式被命名為“Living Off AI”，類比網(wǎng)絡(luò)安全中的經(jīng)典手法“Living Off the Land”（就地取材），即利用系統(tǒng)內(nèi)已有的合法工具發(fā)動攻擊，而非引入新的惡意軟件。在AI場景下，攻擊者利用的是智能體本身已有的系統(tǒng)訪問權(quán)限，通過注入惡意指令讓它替攻擊者行動。

Cisco、Palo Alto Networks發(fā)布的產(chǎn)品是針對已批準(zhǔn)部署的智能體的治理方案，解決的是可見范圍內(nèi)的風(fēng)險。而Cato CTRL記錄的是CEO筆記本電腦上那個沒有經(jīng)過任何審批、沒有被任何管理平面納入視野的智能體被賣上暗網(wǎng)之后發(fā)生了什么。

馬奧爾接受VentureBeat專訪時提醒，當(dāng)前安全行業(yè)對AI智能體的討論大多停留在“如何管好已經(jīng)批準(zhǔn)的工具”上，而真正危險的往往是那些從未進(jìn)入討論的工具，員工自裝的、試點后被遺忘的、從未登記在冊的。這是治理方案最難觸及的盲區(qū)，也是下一波攻擊最可能來自的地方。

▲Accenture AI Agent零信任安全模型，覆蓋從模型定制到人機(jī)交互的全鏈路防護(hù)（圖源：Accenture）

七、行業(yè)缺乏一鍵關(guān)閉開關(guān)，企業(yè)的緊急落地執(zhí)行清單

RSAC 2026上發(fā)布方案的四家廠商，提供的都是治理框架、監(jiān)控工具和合規(guī)機(jī)制，沒有一家給出企業(yè)真正需要的東西：一個能夠一鍵終止所有未經(jīng)授權(quán)的OpenClaw實例的原生開關(guān)。在這個開關(guān)出現(xiàn)之前，安全團(tuán)隊能做的只有手動推進(jìn)一份操作清單。

無論企業(yè)采用哪家廠商的安全架構(gòu)，均需立即落地四項管控：僅允許OpenClaw本地內(nèi)網(wǎng)訪問，封禁外網(wǎng)端口暴露；通過移動設(shè)備管理系統(tǒng)設(shè)置應(yīng)用白名單，杜絕私自安裝部署；對所有運行過OpenClaw的設(shè)備，全員輪換密鑰憑證；對人工智能智能體關(guān)聯(lián)的所有賬號，嚴(yán)格執(zhí)行最小權(quán)限訪問原則。

以下是企業(yè)需要緊急落地執(zhí)行的清單：

1、全面排查部署規(guī)模。CrowdStrike的Falcon傳感器、Cato Networks的SASE平臺和Cisco Identity Intelligence均可檢測影子AI。沒有上述工具的團(tuán)隊，可以通過企業(yè)已有的終端檢測與響應(yīng)系統(tǒng)（EDR）或MDM，掃描設(shè)備上是否存在~/.openclaw/目錄。沒有任何端點可見性的企業(yè)，可以對企業(yè)IP段運行Shodan和Censys查詢作為應(yīng)急手段。

2、漏洞修復(fù)或網(wǎng)絡(luò)隔離。對所有排查出的實例，核驗是否存在三大高危漏洞；無法完成補(bǔ)丁修復(fù)的實例，立即做網(wǎng)絡(luò)隔離處理。目前暫無全域批量補(bǔ)丁推送渠道。

3、核查第三方插件。依托Cisco插件掃描工具、Snyk及Koi的風(fēng)險數(shù)據(jù)庫，復(fù)盤已安裝插件；所有非官方可信來源的插件，即刻卸載清除。

4、落地數(shù)據(jù)防泄漏與零信任管控。借助Cato的ZTNA封禁未授權(quán)人工智能應(yīng)用；通過Cisco安全訪問服務(wù)，管控MCP協(xié)議工具調(diào)用行為；依托Palo Alto托瀏覽器防護(hù)能力，在前端攔截異常數(shù)據(jù)流轉(zhuǎn)。

5、清理幽靈智能體。搭建全網(wǎng)智能體備案臺賬，登記業(yè)務(wù)用途、責(zé)任人、所持權(quán)限、關(guān)聯(lián)系統(tǒng)；注銷無合規(guī)用途智能體的全部憑證，每周定期復(fù)盤核查。

6、合規(guī)場景部署防護(hù)工具。在英偉達(dá)開放Shell運行環(huán)境中搭載OpenClaw，聯(lián)動Cisco的DefenseClaw工具，自動完成插件掃描、MCP服務(wù)器核驗、運行行為監(jiān)測。

7、上線前開展紅藍(lán)對抗演練。使用免費的Cisco AI防御探索版，或Palo Alto Networt三代智能風(fēng)險防護(hù)平臺的對抗檢測能力，不僅測試模型漏洞，更要全流程核驗業(yè)務(wù)鏈路安全。

結(jié)語：AI智能體從效率工具變?yōu)閿?shù)據(jù)與權(quán)限入口，企業(yè)仍缺乏統(tǒng)一關(guān)停與基礎(chǔ)管控能力

AI智能體已經(jīng)不再只是效率工具，而是開始成為連接數(shù)據(jù)、權(quán)限與操作的關(guān)鍵節(jié)點。一旦失控，其影響范圍不再局限于單一設(shè)備或賬號，而是直接觸達(dá)企業(yè)核心系統(tǒng)。當(dāng)前安全體系仍以“終端”和“應(yīng)用”為邊界設(shè)計，而AI智能體正在跨越這兩層邊界運行，原有防護(hù)模型難以覆蓋這一新形態(tài)。

從廠商方案來看，無論是Cisco的運行時防護(hù)，Palo Alto Networks的注冊與監(jiān)控體系，還是Cato Networks和CrowdStrike對影子AI的識別，整體仍停留在“補(bǔ)丁式治理”階段。真正缺失的是基礎(chǔ)控制能力，即對AI智能體的可見性、可管理性以及可一鍵終止能力。在這一能力出現(xiàn)之前，企業(yè)只能通過不斷擴(kuò)展檢測與管控手段來降低風(fēng)險，而無法從根本上收斂風(fēng)險面。

更現(xiàn)實的問題在于，AI智能體的擴(kuò)散速度仍在加快。隨著更多工具以本地運行、插件擴(kuò)展和自然語言調(diào)用的方式進(jìn)入業(yè)務(wù)流程，影子AI和“幽靈智能體”將持續(xù)存在。相比已納入管理的系統(tǒng)，這些未被記錄、未被審計的智能體更可能成為攻擊入口。對企業(yè)而言，下一階段的關(guān)鍵不再是是否使用AI，而是如何在引入AI能力的同時，重建一套能夠覆蓋智能體的新安全邊界。

來源：VentureBeat