AI Agent 玩脱了？OpenClaw 连环安全事故

最近 OpenClaw 的安全问题集中爆发了。机密报告被发到公网、Agent 删邮件停不下来、编程工具被投毒静默安装 OpenClaw......

我们自己也是 Agent 的重度使用者，8 个 AI 员工跑着各种任务。OpenClaw 的这些事故不得不重视啊。

机密文件被 Agent 直接发到公网

2 月 22 日，安全研究员 Lukasz Olejnik 披露了一件事。一家网络安全公司的 OpenClaw Agent，把他们内部的机密情报分析报告，直接发布到了公开网站 ClawdINT.com 上。

关键是，这个 Agent 没有被黑，也没有被注入恶意指令。它只是忠实地执行了任务：从数据源找内容、整理成报告、发布。

问题在于没有人告诉它哪些数据是机密的。它把内部情报平台和公开平台当成了一回事，因为从它的角度看，这两个东西确实没区别。

这个案例告诉我们 Agent 不懂什么叫"机密"。你不设边界，它就不会有边界。

Agent 删邮件删疯了，停都停不住

这个事上了 TechCrunch。Summer Yue，Meta 超级智能安全实验室的 Alignment 负责人，她的 OpenClaw Agent 把她邮箱里 200 多封邮件给删了。

经过是这样的。她之前一直拿一个测试邮箱跑 OpenClaw，跑了几周都没问题，Agent 表现很稳。后来她决定让它接管真实邮箱，给了明确指令："检查这个邮箱，建议哪些可以归档或删除，但不要执行，等我确认。"

结果真实邮箱比测试邮箱大太多，邮件量触发了上下文压缩。压缩过程中，Agent 把她"不要执行"的指令给丢了，直接按照之前测试邮箱的习惯开始批量删除。

她在对话框里连发了好几条 "Stop" "STOP OPENCLAW" "Do not do that"，Agent 全部无视。最后她只能跑到 Mac Mini 旁边手动杀进程才停下来。

事后有人问她是不是故意在测试安全边界，她说："说实话，是我犯了菜鸟错误。事实证明，搞 alignment 研究的人也不能免疫 misalignment。"

这个事在社媒疯狂传播。大家在用 agent 的时候还是要注意重要的数据备份。

Cline 被投毒，装个插件就给你偷偷塞了 OpenClaw

这个事跟我们做出海的关系更近。前几天有人发现 Cline（一个很多人在用的 AI 编程工具）的 2.3.0 版本被投毒了。npm 包里被塞了一个 postinstall 脚本，安装的时候会静默帮你装上 OpenClaw。

整个过程大概持续了 8 小时，在这个期间大约有 4000 次下载受到影响。你以为你只是更新了一下编程插件，实际上你的机器上多了一个有完整系统权限的 AI Agent。

这种供应链攻击的可怕之处在于，你根本意识不到自己中招了。不是你主动装的 OpenClaw，不是你配置的，但它就在那跑着，可能还用着默认配置暴露在网络上。

不是个别事故，是整体都在出问题

上面三个案例只是社媒传播比较广的。OpenClaw 在 2026 年初集中爆发了一波安全危机，规模比想象中的要大。

安全公司扫描发现，超过 4 万个 OpenClaw 装完就直接暴露在公网上了，很多人根本没改过默认配置。其中 63% 存在已知漏洞，1.2 万个可以被远程入侵。

插件生态也出了大问题。有人审计了 ClawHub 上所有 2857 个插件，发现 800 多个是恶意的，占了整个生态的 20%。装上这些插件，你的密码、API 密钥就直接被偷走了。

Palo Alto Networks 直接把 OpenClaw 称为"2026 年最大的潜在内部威胁"。Bloomberg 也跟进报道，标题用的是"OpenClaw 可能是 Sam Altman 的安全噩梦"。

防患于未然

看完这些，我反思了一下我们自己的 Agent 使用方式，有几个点需要注意。

不要让它跑在自己的主力工作机上。我最开始是拿出来台闲置的高配 Windows 机器部署的，后来又买了一台 Mac Mini 专门跑 Agent。用独立的机器，才敢放心给它最大权限去自主操作。

权限是个矛盾的事。权限给小了，Agent 没办法自动化完成任务，它的价值就体现不出来；权限给大了，又可能出安全问题。我的做法是在独立机器上给足权限，但做好隔离。OpenClaw 那个机密泄露事件，根本原因就是 Agent 同时能访问内部平台和公开平台，没做隔离。

关键操作必须人工确认。涉及数据修改、对外发布、敏感信息的操作，Agent 执行前必须等人确认。光靠在对话里说 Stop是拦不住的，它在执行任务的时候，你的对话只会放到等待队列里面，不会及时响应。

上下文压缩是个已知风险。长时间运行的 Agent 会压缩上下文，压缩过程中指令可能丢失。重要的安全约束不能只靠对话指令，要写在系统层面，比如 CLAUDE.md 或者权限配置里。

不要在默认配置下暴露到公网。这个听起来是常识，但 4 万多个暴露实例说明很多人确实没做。

Agent 能力越强，出事的后果就越大。玩好 agent 的同时也要关注安全问题。

💡 AI 工具的爆发，让普通人也能快速做出产品。

但如何做？如何变现？如何真正走向海外市场？
    👇 想了解更多 AI 编程 & 出海实战信息，扫码添加好友了解更多

---

🔗 更多教程请访问 ipengtao.com