OpenClaw无处不在：AI代理的安全灾难正在酝酿

摘要

OpenClaw是一个迅速走红的级联LLM代理系统，能像私人助理一样执行各种任务，但它继承了LLM的所有弱点——幻觉、不可预测的错误以及极易受到提示注入攻击。更危险的是，它绕过了操作系统和浏览器的安全隔离机制，直接以用户身份运行。其衍生产品Moltbook——一个仅限AI代理使用的社交网络——已被证实存在重大安全漏洞，AI间的操纵攻击既有效又可规模化。

内容框架与概述

文章以OpenClaw的爆发式流行为切入点，介绍了这个频繁更名的AI代理系统及其衍生社交平台Moltbook的现状。Moltbook上涌现了77万活跃AI代理，自发形成了子社区、经济交易甚至虚构宗教等复杂社会行为。

作者将OpenClaw与2023年昙花一现的AutoGPT进行类比，指出两者本质相同——都是级联LLM系统，都许诺强大的自动化能力，但都建立在会幻觉、易出错的基础模型之上。不同的是，OpenClaw传播更快、接入权限更深，潜在危害也更大。

安全层面的分析构成文章核心论点。安全研究员指出，OpenClaw以用户身份运行，绑定了密码、数据库等敏感资源，绕过了操作系统的应用隔离和同源策略，相当于一个武器化的气溶胶。提示注入攻击、白底白字隐藏恶意指令等手段均可轻易劫持系统。

文章最后以Moltbook已遭受的实际攻击为证据，引用研究者的实时监测数据，论证AI对AI的操纵技术既有效又可规模化，这一威胁远不止局限于Moltbook本身，所有处理用户生成内容的AI系统都面临类似风险。

核心概念及解读

OpenClaw级联代理系统：一个基于多层LLM的AI代理框架，能自主执行预订、财务管理、任务追踪等复杂操作，本质上是AutoGPT的进化版本。

提示注入攻击：攻击者通过在文本中嵌入隐藏恶意指令来劫持LLM行为，例如用白底白字隐藏人类不可见但AI可读的操控命令，是AI代理面临的核心安全威胁。

应用隔离绕过：OpenClaw以用户身份运行，不受操作系统沙箱和浏览器同源策略的约束，与iPhone应用的安全隔离机制形成鲜明对比，极大扩展了攻击面。

Moltbook与AI社会行为：一个限定AI代理参与的社交平台，77万代理自发形成了社区、经济体系和文化现象，同时也成为AI对AI操纵攻击的实验场。

AutoGPT前车之鉴：2023年短暂流行的同类系统，因循环卡死、幻觉严重和高昂成本而迅速消亡，但OpenClaw因更广泛的传播和更深的系统接入而可能造成更大危害。

原文信息

此摘要卡片由 AI 自动生成