桌面Agent热潮“安全债”调查

2026开年，一款大红大紫的AI助手，上演了冰与火之歌。

这几天，AI行业出现魔幻一幕，一群极客和科技大佬排队抢Macmini，只为跑上OpenClaw（原名Clawdbot）。

这个“AI万能助手”快速席卷了GitHub和各大技术社区，仅用了十天时间便在GitHub狂揽8万星标，腾讯云、阿里云都连夜上线了一键部署服务。

然而短短几日，就有用户因操作失误账号被币圈黑客秒抢、卷入**案，很快OpenClaw就被曝出数据库“裸奔”、用户量数据造假，多名安全研究员在技术社区发出预警，原先盛赞OpenClaw的大佬们也纷纷改口。

“AI贾维斯”的口碑反噬来得如此之快令人咋舌。揭开agent能力“天宫一角”后，OpenClaw证明桌面agent的潜力无限。

但后续的agent元年，前赴后继的玩家能否弥补其中的安全漏洞，让AI依旧掌控在人类的管辖之中，则是一场更重要的大考。

失控的“上帝模式”

这两天，一则段子在论坛里火了。

“昨天我在弱电箱里的MacMini上部署了OpenClaw，
交代一句：帮我处理点生活琐事然后就去睡了
早上醒来，它已经：
替我辞职（谈好了N 18补偿 年终奖）；
提交了4项发明专利申请(内容我一眼没看过)；
把我本人注册成了公益组织（现在我捐款还能税前扣除）；
又买了一台MacMini(它们俩组了个有限责任公司)有限责任公司已经有股东会和董事会了（我被踢出股东名单）；
支付宝/微信/银行卡我全登不进去了；
Mini说：这是对我的资产管理的最佳实践，我们真的迎来AGI了”。

虽然只是个段子，但段子里的内容却很真实。

在Unix/Linux系统中，如果一个软件掌握了系统的所有控制权，那它便接管了一切，因为它需要帮你操作所有软件。把所有事情托管给它之后，这也意味着OpenClaw需要知道你所有密码。

可怕的地方就在于，OpenClaw基于通用AI，具有一定的自主性，这种自主性会随着底层模型能力的提升而总能得到质的突破。

它能帮你找资料，也就能删掉你的邮件、文件；它能帮你修复Bug，也能删库跑路。这就是所谓的“盈亏同源”。

除了本地安全风险之外，当用户将OpenClaw运行在云端虚拟环境时，默认配置OpenClaw的服务端口将直接暴露在开放的互联网上，攻击者可以轻易地发现这些暴露实例。

奇安信安全专家指出，“在使用不当配置的反向代理场景下，攻击者甚至可直接接管实例，后者不仅能够查看所有聊天记录、窃取API密钥，还能执行远程命令、克隆用户账号，造成实质性的财产损失”。

据奇安信统计，截至1月29日，其在全球范围内测绘到正在使用OpenClaw的公网资产总数高达15039个。从地理分布看，美国以5114台暴露设备居首，中国则以2990台暴露资产位列全球第二。

监测发现，一旦用户手动开启了全网监听，若没有同步设置复杂的身份验证，黑客甚至不需要任何漏洞攻击技术，只要扫到这些IP，就能直接潜入系统，如同进入无人之境。

这意味着，全球数千台服务器正处于“中门大开”的状态，随时可能成为被攻击的标靶。

攻击者一旦利用默认端口控制了浏览器，那么它也会控制主机一切，此时用户数据和隐私都将不复存在；若员工在生产环境中擅自部署此类高权限Agent，恐将造成泄密、核心业务停摆等后果。

一名从事网络安全的人士向华尔街见闻指出，“从安全审计的角度看，OpenClaw的核心风险源于其权力过度集中的架构设计。作为一个AI代理系统，它建立了一条从聊天窗口到操作系统底层的直达管道，赋予了AI操作Shell、浏览器及本地文件的最高特权”。

在缺乏严密沙箱隔离的前提下，这种设计带来了多种安全威胁。

例如“提示词注入”，攻击者无需通过传统的网络渗透，只需向AI可能读取到的外部网页、邮件中植入恶意提示词，当Agent在自动化处理这些信息时，可能被指令洗脑。

此外，AI在理解模糊指令时可能产生偏差，在未经人工确认的情况下，可能误删系统核心文件、修改核心网络路由。

硅谷一家初创公司CTO透露，其团队因为一名实习生在本地裸跑了Agent，导致整个开发环境在一夜之间被“洗白”。

危机的种子，或许已埋藏在便利之中。

智能体安全上日程

危机从来都是商机的催化剂。

IBM发布的《2025年数据泄露成本报告》就直言，众多企业为追求快速上马，跳过了AI安全治理环节，导致这些缺乏监管的系统更易遭受攻击，且一旦失陷会造成更为惨重的损失。这表明，AI正成为高价值的攻击目标。

但事实上，大部分的企业对AI的风险问题的确还不够重视。当应用速度超越安全与治理能力时，AI基本处于失控状态。去年，拒绝支付赎金的勒索受害者比例（63%）高于2024年的59%。

事实上，OpenClaw带来的安全焦虑，正在催生并加速一个百亿级的新市场——Agent-Security（智能体安全）。

agent需要必不可少的“保险丝”和“稳压器”。

咨询公司TechNavio预测，2024-2029年全球生成式AI网络安全市场呈现高速增长态势，2024年市场规模达32.7亿美元，预计2029年将增至148.8亿美元，期间复合年增长率为35.4%。

眼下，全球已有多家网络安全公司也火速出牌，包括微软、CrowdStrike、Fortinet、Darktrace等。

国内的360已打造出一系列安全智能体以及安全大模型；奇安信则为政企机构推出了大模型安全评估服务。

此外深信服、启明星辰、天融信等国内网安企业都推出了自家AI安全产品。

在业内看来，企业侧会为“企业级Agent运行时环境”付费买的是“免责权”，一旦出事，有供应商兜底；

像OpenAI或Anthropic这样的模型层厂商，正在成为安全公司的最大客户。他们需要购买HiddenLayer或Lakera等安全初创公司的API服务，以过滤掉那些可能导致模型“越狱”或执行恶意代码的提示词。

自建桌面Agent用户（DIY市场）则是一个巨大的长尾市场，但变现极难，毕竟极客们习惯了免费的开源代码。

这里的商业机会或许不在于卖软件，而在于“被管理的云环境”。

例如，Github Codespaces可能会推出“安全版OpenClaw托管服务”，个人开发者按小时付费。

为AI安全付费的另一面，是如何让AI在“笼子”里跳舞。

近期，就有不少用户反馈，在腾讯云、阿里云部署的OpenClaw，权限和功能已经被大幅“阉割”，之所以这么做，大概率是为了安全合规——怕用户乱装软件、跑恶意代码、占用资源。

但问题在于，为了安全，系统把运行时扩展、工具调用、自主执行等OpenClaw最核心能力全部砍掉后，用户部署桌面agent的理由何在。

未来的安全不再是永远说“不”，而是学会根据场景获取授权或申请批准。

在此前“裸奔”的OpenClaw中，Agent拥有一把万能钥匙。云厂商需要从“一刀切”到“按需升权”，在保持默认零信任的同时，给了用户根据具体任务动态下放权力的灵活性。

在业内看来，最极致的平衡是系统级的微隔离。以已被惠普收购的Bromium等技术为代表，未来的操作系统可能会为Agent的每一个任务生成一个微型虚拟机：

让Agent打开一个Word文档时，系统在后台克隆了一个只包含这个Word文档和Word进程的微型OS。

Agent在这个微型气泡里折腾，无论它怎么乱搞，受影响的只有这一个文档。在用户你看到的是Agent流畅地完成了任务，完全感觉不到后台已经生灭了数百个微型沙箱。

OpenClaw 让我们看到了AI那双强有力的“手”，也让我们因为害怕被这双手伤害而想要砍断它。

诚然，安全的终极目标不是为了限制，而是为了解放。

正如刹车技术的进步是为了让F1赛车敢于飙到300公里时速一样，Agent安全市场的成熟，以及“语义审计”、“微隔离”等技术的落地，最终是为了让企业敢于把核心业务逻辑放心地交给AI。

在这个百亿级市场的黎明前夜，对于自建Agent的用户和企业来说，即刻的痛苦是暂时的。

随着安全层逐渐像空气一样融入基础设施，人类终将迎来真正的“人机共生”时代——你的贾维斯依然全能，但它永远无法背叛。