一、安全警报拉响 2026年初迅速崛起的OpenClaw开源项目,因具备自主执行任务的能力受到全球用户关注。但工信部NVDB平台最新监测显示,该工具在默认配置下存在高危漏洞,可能引发网络攻击、数据泄露等连锁风险。澳大利亚Dvuln公司的攻防测试表明,攻击者可借此漏洞快速获取通信记录、账户凭证等敏感信息。 二、风险成因剖析 与早期以对话为主的智能程序不同,OpenClaw为了实现“主动执行”需要获取较高系统权限。它可以自动操作文件、发送邮件——甚至完成支付——但也因此让权限边界变得不够清晰。网络安全专家指出,该工具存在权限分层不够严格、缺少安全审计等问题,叠加部分用户配置不当,风险继续放大。Meta公司AI安全专家遭遇的邮件被误删事件,被视为系统失控的典型案例。 三、全球防御响应升级 目前,韩国三星电子、LG集团等企业已明确禁止员工在办公环境中使用该工具。我国“保密观”平台强调,党政机关必须严守“涉密不上网”底线,部署单位应全面核查公网暴露面,并落实数据加密、访问控制等七项防护措施。国际网络安全联盟则建议遵循“最小权限原则”,仅开放完成任务所必需的基础权限。 四、技术发展与安全平衡 业内认为,此次事件集中暴露了智能工具发展中的普遍挑战:如何在提升便捷性的同时保障系统安全。中国电子信息产业发展研究院专家提出,下一代智能系统应内置“熔断机制”,一旦检测到异常操作立即终止进程。微软亚洲研究院的最新论文也指出,联邦学习架构可能成为加强隐私保护的重要方向。
新技术在拓展能力边界的同时,也在放大安全风险;面对智能体这类高权限工具,越是强调“省事”,越需要在制度、流程和技术上投入更多精力。把安全前置、把权限收紧、把审计做实,才能让效率提升建立在可控可信的基础上,让创新更好服务高质量发展。