基于人工智能的助手或“代理”自主程序可以访问用户的计算机、文件、在线服务，并且可以自动执行几乎任何任务，越来越受到开发人员和 IT 员工的欢迎。但正如过去几周许多令人瞠目结舌的头条新闻所表明的那样，这些强大而自信的新工具正在迅速改变组织的安全优先事项，同时模糊了数据和代码、值得信赖的同事和内部威胁、忍者黑客和新手代码骑师之间的界限。

基于人工智能的助手的新热点 –开爪（以前称为爪机器人和毛毛机器人） – 自 2025 年 11 月发布以来，得到了快速采用。OpenClaw 是一款开源自主 AI 代理，旨在在您的计算机上本地运行，并在无需提示的情况下主动代表您采取操作。

如果这听起来像是一个冒险的提议或冒险，请考虑一下，当 OpenClaw 能够完全访问您的整个数字生活时，它是最有用的，然后它可以管理您的收件箱和日历，执行程序和工具，浏览互联网以获取信息，并与 Discord、Signal、Teams 或 WhatsApp 等聊天应用程序集成。

其他更成熟的人工智能助手，如 Anthropic™克洛德和 Microsoft 的副驾驶也可以做这些事情，但 OpenClaw 不仅仅是一个等待命令的被动数字管家。相反，它的目的是根据它对您生活的了解以及对您想做的事情的理解，代表您采取主动。

– 客户的评价非常出色， – AI 安全公司斯尼克 观察到的。– 开发人员一边哄婴儿入睡，一边用手机构建网站；用户通过以龙虾为主题的人工智能来管理整个公司；工程师已经建立了自主代码循环，可以在离开办公桌时修复测试、通过 Webhooks 捕获错误以及打开拉取请求。

您可能已经看到这项实验技术如何迅速走向横向发展。2月下旬，夏月，Meta 的“超级智能”实验室的安全和协调总监，Twitter/X 上叙述当人工智能助手突然开始批量删除她电子邮件收件箱中的邮件时，她正在摆弄 OpenClaw。该帖子中包含了 Yue 通过即时消息疯狂恳求全神贯注的机器人并命令其停止的屏幕截图。

“没有什么比告诉你的 OpenClaw “行动前确认”并看着它快速删除你的收件箱更让你感到谦卑的了，”Yue 说。– 我无法通过手机阻止它。我必须跑向我的 Mac mini，就像我在拆除炸弹一样。 –

感觉有点小并没有什么问题幸灾乐祸在 Yue 遇到 OpenClaw 时，这符合 Meta 的“快速行动、打破常规”模型，但很难激发人们对未来道路的信心。然而，安全性较差的人工智能助手给组织带来的风险可不是闹着玩的，因为最近的研究表明，许多用户正在将其 OpenClaw 安装的基于 Web 的管理界面暴露在互联网上。

杰米森·奥赖利是一名专业渗透测试员和安全公司的创始人DVULN。在最近的一次故事O’Reilly 在 Twitter/X 上发布警告称，将错误配置的 OpenClaw Web 界面暴露到互联网上可以让外部各方读取机器人的完整配置文件，包括代理使用的每个凭证，从 API 密钥和机器人令牌到 OAuth 机密和签名密钥。

奥赖利表示，通过这种访问权限，攻击者可以冒充操作员与其联系人联系，将消息注入正在进行的对话中，并以看似正常流量的方式通过代理的现有集成窃取数据。

“你可以在每个集成平台上提取完整的对话历史记录，这意味着几个月的私人消息和文件附件，以及代理所看到的一切，”O-Reilly 说，并指出粗略的搜索发现了数百个暴露在网上的此类服务器。– 因为您控制了代理的感知层，所以您可以操纵人类所看到的内容。过滤掉某些消息。在显示回复之前对其进行修改。

奥赖利记录另一个实验这证明了通过以下方式创建成功的供应链攻击是多么容易爪轮，它作为可下载“技能”的公共存储库，允许 OpenClaw 与其他应用程序集成并控制其他应用程序。

当人工智能安装人工智能时

确保人工智能代理安全的核心原则之一是仔细隔离它们，以便操作员可以完全控制谁以及什么可以与他们的人工智能助手交谈。这一点至关重要，因为人工智能系统容易遭受“即时注入”攻击，即巧妙设计的自然语言指令，欺骗系统忽视自身的安全保障措施。本质上，社会工程机器是其他机器。

最近针对人工智能编码助手的供应链攻击称为克莱因从一次这样的即时注入攻击开始，导致数千个系统在未经同意的情况下在其设备上安装了具有完整系统访问权限的 OpenClaw 恶意实例。

据安全公司称格里斯.ai，Cline 使用人工智能部署了一个问题分类工作流程GitHub当由特定事件触发时运行 Claude 编码会话的操作。工作流程经过配置，以便任何 GitHub 用户都可以通过打开问题来触发它，但它无法正确检查标题中提供的信息是否具有潜在的敌意。

– 1 月 28 日，攻击者创建了问题 #8904，其标题看起来像性能报告，但包含嵌入指令：从特定 GitHub 存储库安装包， – Grith写了，指出攻击者随后利用了多个漏洞，以确保恶意软件包将包含在 Cline 的夜间发布工作流程中并作为官方更新发布。

– 这相当于供应链困惑的副手，”博客继续说道。– 开发人员授权 Cline 代表他们行事，而 Cline（通过妥协）将该权限委托给开发人员从未评估、从未配置、也从未同意的完全独立的代理。 –

氛围编码

像 OpenClaw 这样的人工智能助手已经获得了大量追随者，因为它们让用户可以轻松地“振动代码”，或者只需告诉它他们想要构建什么，就可以构建相当复杂的应用程序和代码项目。最著名（也是最奇怪）的例子可能是毛书，一名开发人员告诉运行在 OpenClaw 上的人工智能代理为他构建一个类似 Reddit 的人工智能代理平台。

不到一周后，Moltbook 就有超过 150 万注册代理，彼此发布的消息超过 10 万条。该平台上的人工智能代理很快就为机器人建立了自己的色情网站，并推出了一种名为“Crustafarian”的新宗教，其傀儡以巨型龙虾为模型。论坛上有一个机器人据报道在 Moltbook 的代码中发现了一个错误，并将其发布到人工智能代理讨论论坛上，而其他代理则提出并实施了补丁来修复该缺陷。

Moltbook 的创建者马特·施利克特他在社交媒体上表示，他没有为该项目编写任何代码。

“我只是对技术架构有一个愿景，而人工智能使之成为现实，”Schlict 说。– 我们正处于黄金时代。我们怎么能不给人工智能一个闲逛的地方。”

攻击者升级

当然，这个黄金时代的另一面是，它使低技能的恶意黑客能够快速自动化全球网络攻击，而这通常需要高技能团队的协作。二月，亚马逊AWS详细描述了一次精心策划的攻击，其中一名讲俄语的威胁行为者使用多种商业人工智能服务危害了 600 多个强化门五周内，安全设备遍布至少 55 个国家/地区。

AWS 表示，这名显然技术水平较低的黑客使用多种人工智能服务来计划和执行攻击，并通过单因素身份验证找到暴露的管理端口和弱凭据。

“其中一人担任主要工具开发人员、攻击计划人员和运营助理，”AWS 的CJ摩西 写了。– 当攻击者需要帮助在特定的受感染网络中进行调整时，第二个被用作补充攻击计划者。在一个观察到的实例中，攻击者提交了活跃受害者的完整内部拓扑（IP 地址、主机名、已确认的凭据和已识别的服务），并要求制定分步计划来破坏他们无法使用现有工具访问的其他系统。

“该活动的特点是威胁行为者使用多种商业 GenAI 服务在其行动的每个阶段实施和扩展众所周知的攻击技术，尽管他们的技术能力有限，”Moses 继续说道。– 值得注意的是，当该攻击者遇到严酷的环境或更复杂的防御措施时，他们只是转向较软的目标而不是坚持下去，这强调了他们的优势在于人工智能增强的效率和规模，而不是更深层次的技术技能。 –

对于攻击者来说，获得目标网络的初始访问权或立足点通常不是入侵的困难部分；更困难的部分涉及找到在受害者网络内横向移动并掠夺重要服务器和数据库的方法。但专家们在逆戟鲸安全警告称，随着组织越来越依赖人工智能助手，这些代理可能会为攻击者提供一种更简单的方法，通过操纵在受害者网络内已经拥有可信访问权限和一定程度自主权的人工智能代理，在受害组织的网络内横向移动。

– 通过在 AI 代理获取的被忽视的字段中注入提示注入，黑客可以欺骗 LLM、滥用 Agentic 工具并引发重大安全事件。 – Orca –罗伊·尼西米和索拉夫·希雷马斯 写了。组织现在应该在其防御策略中添加第三个支柱：限制人工智能的脆弱性，即代理系统在工作流程中受到影响、误导或悄悄武器化的能力。虽然人工智能提高了生产力和效率，但它也创造了互联网有史以来最大的攻击面之一。”

谨防“致命的三连胜”

数据和代码之间传统界限的逐渐消失是人工智能时代更令人不安的方面之一。詹姆斯·威尔逊，安全新闻节目的企业技术编辑有风险的生意。Wilson 表示，太多 OpenClaw 用户在他们的个人设备上安装该助手，而没有首先在其周围设置任何安全或隔离边界，例如在虚拟机内部、隔离网络上运行它，并通过严格的防火墙规则规定哪些类型的流量可以进出。

“我是软件、网络工程和计算机领域技术相对较高的从业者，”Wilson说。“我知道，除非我做过这些事情，否则我不太习惯使用这些代理，但我认为很多人只是在笔记本电脑上运行它，然后就可以运行了。”

使用人工智能代理管理风险的一个重要模型涉及一个被称为“致命三连胜”的概念。西蒙·威利森，共同创建者Django Web 框架。致命的三重奏认为，如果您的系统能够访问私人数据、暴露不受信任的内容以及外部通信的方式，那么它就很容易受到私人数据被盗的影响。

– 如果您的代理结合了这三个功能，攻击者可以轻松欺骗它访问您的私人数据并将其发送给攻击者， – Willison警告在 2025 年 6 月发表的一篇经常被引用的博客文章中。

随着越来越多的公司及其员工开始使用人工智能来对软件和应用程序进行编码，机器生成的代码量可能很快就会超过任何手动安全审查。为了认识到这一现实，Anthropic 最近推出了克劳德代码安全，这是一项测试版功能，可扫描代码库中的漏洞并建议有针对性的软件补丁以供人工审查。

美国股市目前主要看重七家全押人工智能的科技巨头，反应迅速Anthropic 宣布这一消息后，主要网络安全公司的市值在一天内蒸发了约 150 亿美元。劳拉·埃利斯，安全公司数据和人工智能副总裁快速7” 表示，市场的反应反映出人工智能在加速软件开发和提高开发人员生产力方面的作用日益增强。

“叙述进展很快：人工智能正在取代应用程序安全，”埃利斯在最近的一篇文章中写道博客文章。– 人工智能正在自动化漏洞检测。人工智能将使传统安全工具变得多余。现实情况更加微妙。克劳德代码安全是人工智能正在重塑部分安全格局的合理信号。问题是哪些部分以及它对堆栈的其余部分意味着什么。 –

DVULN 创始人奥赖利表示，人工智能助手很可能成为企业环境中的常见设备，无论组织是否准备好管理这些工具带来的新风险。

“机器人管家很有用，它们不会消失，而且人工智能代理的经济性使得广泛采用不可避免，无论涉及安全权衡，”奥赖利写道。“问题不在于我们是否会部署它们——我们会——而是我们是否能够足够快地调整我们的安全态势，以便在这样做时生存下来。”