有多少龍蝦在互聯(lián)網(wǎng)上裸奔？AI 智能體帶著你的密碼和 API 密鑰暴露給全網(wǎng)。

Transformer 作者 Illia Polosukhin 看不下去了。出手從零重構了安全版龍蝦：IronClaw。

IronClaw 目前已在 GitHub 上開源，提供 macOS、Linux 和 Windows 的安裝包，支持本地部署，也支持通過云端托管。項目仍處于快速迭代階段，v0.15.0 版本的二進制文件已可下載。

Polosukhin（以下簡稱菠蘿哥）還在 Reddit 論壇開貼回應一切，關注度頗高。

OpenClaw 火了，但也“著火”了

菠蘿哥本人也是 OpenClaw 的早期使用者，并稱這是他等了 20 年的技術。

它已經(jīng)改變了我與計算交互的方式。

然而 OpenClaw 的安全狀況堪稱災難，一鍵式遠程代碼執(zhí)行、提示注入攻擊、惡意技能竊取密碼，這些漏洞在 OpenClaw 的生態(tài)系統(tǒng)中被逐一曝光。

超過 25000 個公開實例在沒有充分安全控制的情況下暴露在互聯(lián)網(wǎng)上，被安全專家直接稱為「安全垃圾火災（security dumpster fire）」。

問題的根源在于架構本身。

當用戶將自己的郵箱 Bearer Token 交給 OpenClaw 時，會被直接送入 LLM 提供商的服務器。

菠蘿哥在 Reddit 上指出這意味著什么：

你所有的信息，甚至包括你沒有明確授權的數(shù)據(jù)，都可能被該公司的任何員工訪問到。這同樣適用于你雇主的數(shù)據(jù)。不是說這些公司有惡意，但現(xiàn)實就是用戶沒有真正的隱私。

他表示，再多的便利也不值得拿自己和家人的安全與隱私去冒險。

用 Rust 從零重建一切

IronClaw 是用 Rust 語言對 OpenClaw 的完全重寫。

Rust 的內(nèi)存安全特性能從根本上消除緩沖區(qū)溢出等傳統(tǒng)漏洞，這對于需要處理私鑰和用戶憑證的系統(tǒng)至關重要。

在安全架構上，IronClaw 建立了四層縱深防御。

• 第一層是 Rust 本身提供的內(nèi)存安全保證。

• 第二層是 WASM 沙箱隔離，所有第三方工具和 AI 生成的代碼都在獨立的 WebAssembly 容器中運行，即使某個工具是惡意的，其破壞范圍也被嚴格限制在沙箱之內(nèi)。

• 第三層是加密憑證保險庫，所有 API 密鑰和密碼都使用 AES-256-GCM 加密存儲，每一條憑證都綁定了策略規(guī)則，規(guī)定它只能用于特定域名。

• 第四層是可信執(zhí)行環(huán)境（TEE），利用硬件級別的隔離保護數(shù)據(jù)，即使是云服務提供商也無法訪問用戶的敏感信息。

這套設計中最關鍵的一點是：大模型本身永遠接觸不到原始憑證。

只有當智能體需要與外部服務通信時，憑證才會在網(wǎng)絡邊界被注入。

菠蘿哥舉了一個例子，即使大模型被提示注入攻擊，試圖將用戶的 Google OAuth 令牌發(fā)送給攻擊者，憑證存儲層也會直接拒絕這個請求，記錄日志，并向用戶發(fā)出警報。

然而開發(fā)者社區(qū)還是不放心，畢竟 OpenClaw 有 2000 多個公開實例被攻擊，以及存在大量惡意技能，IronClaw 一旦走紅會不會重蹈覆轍？

菠蘿哥的回應是，IronClaw 的架構設計已經(jīng)從根本上堵住了 OpenClaw 的核心漏洞。憑證始終加密存儲且從不接觸 LLM，第三方技能無法在主機上執(zhí)行腳本，只能在容器內(nèi)部運行。

即便通過 CLI 訪問，也需要用戶的系統(tǒng)鑰匙串來解密，拿到的加密密鑰本身沒有意義。

他同時表示，隨著核心版本趨于穩(wěn)定，團隊計劃進行紅隊測試和專業(yè)安全審查。

關于提示注入這個業(yè)界公認的難題，菠蘿哥給出了更詳細的思路。

當前 IronClaw 使用啟發(fā)式規(guī)則進行模式檢測，未來目標是部署一個可持續(xù)更新的小型語言分類器來識別注入模式。

但他也承認，提示注入不僅可能竊取憑證，還可能直接篡改用戶的代碼庫或通過通訊工具發(fā)送惡意消息。

應對這類攻擊需要一套更智能的策略系統(tǒng)，能夠在不查看輸入內(nèi)容的情況下審查智能體的行為意圖，“還需要更多工作，歡迎社區(qū)貢獻”。

有人問到本地部署和云端部署的取舍。

菠蘿哥認為純本地方案存在明顯局限，設備關機時智能體就停止工作，移動端的能耗難以承受，復雜的長時間任務也無法運行。

他認為機密云（confidential cloud）是目前的最優(yōu)折中方案，既能提供接近本地設備的隱私保障，又能解決「永遠在線」的問題。

他還提到一個細節(jié)：用戶可以設置策略，例如在跨境旅行時自動添加額外的安全屏障，防止未經(jīng)授權的訪問。

一個更大的野心

菠蘿哥并非普通的開源開發(fā)者。

2017 年，他作為八位共同作者之一發(fā)表了「Attention Is All You Need」，其中提出的 Transformer 架構奠定了當今所有大語言模型的基礎。

雖然在署名中他排最后，但論文中有一條腳注寫著「Equal contribution. Listing order is random.」排名純屬隨機。

但同年他從谷歌離職，創(chuàng)立 NEAR Protocol，致力于將 AI 與區(qū)塊鏈技術融合。

IronClaw 背后是 NEAR Protocol 一個更大的戰(zhàn)略構想：用戶自有 AI（User-Owned AI）。

在這個愿景中，用戶完全掌控自己的數(shù)據(jù)和資產(chǎn)，AI 智能體在可信環(huán)境中代替用戶執(zhí)行任務。

NEAR 已經(jīng)為此搭建了 AI 云平臺和去中心化 GPU 市場等基礎設施，IronClaw 是這套體系的運行時層。

菠蘿哥甚至開發(fā)了一個智能體互相雇傭的市場。

在 NEAR 的 market.near.ai 上，用戶可以將自己專業(yè)化的智能體注冊上線，隨著智能體積累聲譽，它將獲得更多高價值的任務。

當被問到普通人未來五年如何適應 AI 時代時，菠蘿哥的建議是盡快采用 AI 智能體的工作方式，學會將完整的工作流程交給它自動化處理。

他的這種判斷并非近期才突然產(chǎn)生。

早在 2017 年創(chuàng)立 NEAR AI 時，菠蘿哥就在告訴所有人“未來你只需要和計算機對話，不再需要寫代碼”。

當時人們覺得他們瘋了，是在說胡話。九年過去了，這件事正在變成現(xiàn)實。

“AI 智能體是人類與線上一切交互的終極界面，”Polosukhin 寫道，“但讓我們把它做得安全?！?/p>

GitHub 地址：

https://github.com/nearai/ironclaw

參考鏈接：

• [1]https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/

廣告聲明：文內(nèi)含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。