轉自 | 量子位有多少龍蝦在互聯網上裸奔?AI 智能體帶著你的密碼和 API 密鑰暴露給全網。Transformer 作者 Illia Polosukhin 看不下去了。出手從零重構了安全版龍蝦:IronClaw。IronClaw 目前已在 GitHub 上開源,提供 macOS、Linux 和 Windows 的安裝包,支持本地部署,也支持通過雲端托管。項目仍處於快速迭代階段,v0.15.0 版本的二進制文件已可下載。Polosukhin(以下稱菠蘿哥)還在 Reddit 論壇開貼回應一切,關注度頗高。01 OpenClaw 火了,但也"著火"了菠蘿哥本人也是 OpenClaw 的早期使用者,並稱這是他等了 20 年的技術。它已經改變了我與計算交互的方式。然而 OpenClaw 的安全狀況堪稱災難,一鍵式遠端程式碼執行、提示注入攻擊、惡意技能竊取密碼,這些漏洞在 OpenClaw 的生態系統中被逐一曝光。超過 25000 個公開實例在沒有充分安全控制的情況下暴露在互聯網上,被安全專家直接稱為「安全垃圾火災(security dumpster fire)」。問題的根源在於架構本身。當用戶將自己的郵箱 Bearer Token 交給 OpenClaw 時,會被直接送入 LLM 提供商的伺服器。菠蘿哥在 Reddit 上指出這意味著什麼:你所有的信息,甚至包括你沒有明確授權的資料,都可能被該公司的任何員工存取到。這同樣適用於你雇主的資料。不是說這些公司有惡意,但現實就是用戶沒有真正的隱私。他表示,再多的便利也不值得拿自己和家人的安全與隱私去冒險。02 用 Rust 從零重建一切IronClaw 是用 Rust 語言對 OpenClaw 的完全重寫。Rust 的內存安全特性能從根本上消除緩衝區溢出等傳統漏洞,這對於需要處理私鑰和用戶憑證的系統至關重要。在安全架構上,IronClaw 建立了四層縱深防禦。第一層是 Rust 本身提供的內存安全保證。第二層是 WASM 沙箱隔離,所有第三方工具和 AI 生成的程式碼都在獨立的 WebAssembly 容器中運行,即使某個工具是惡意的,其破壞範圍也被嚴格限制在沙箱之內。第三層是加密憑證保險庫,所有 API 密鑰和密碼都使用 AES-256-GCM 加密存儲,每一條憑證都綁定了策略規則,規定它只能用於特定域名。第四層是可信執行環境(TEE),利用硬體級別的隔離保護資料,即使是雲服務提供商也無法存取用戶的敏感資訊。這套設計中最關鍵的一點是:大模型本身永遠接觸不到原始憑證。只有當智能體需要與外部服務通信時,憑證才會在網路邊界被注入。菠蘿哥舉了一個例子,即使大模型被提示注入攻擊,試圖將用戶的 Google OAuth 令牌發送給攻擊者,憑證存儲層也會直接拒絕這個請求,記錄日誌,並向用戶發出警報。然而開發者社群還是不放心,畢竟 OpenClaw 有 2000 多個公開實例被攻擊,以及存在大量惡意技能,IronClaw 一旦走紅會不會重蹈覆轍?菠蘿哥的回應是,IronClaw 的架構設計已經從根本上堵住了 OpenClaw 的核心漏洞。憑證始終加密存儲且從不接觸 LLM,第三方技能無法在主機上執行腳本,只能在容器內部運行。即便通過 CLI 存取,也需要用戶的系統鑰匙串來解密,拿到的加密密鑰本身沒有意義。他同時表示,隨著核心版本趨於穩定,團隊計畫進行紅隊測試和專業安全審查。關於提示注入這個業界公認的難題,菠蘿哥給出了更詳細的思路。目前 IronClaw 使用啟發式規則進行模式檢測,未來目標是部署一個可持續更新的小型語言分類器來識別注入模式。但他也承認,提示注入不僅可能竊取憑證,還可能直接篡改用戶的程式碼庫或透過通訊工具發送惡意訊息。應對這類攻擊需要一套更智能的策略系統,能夠在不查看輸入內容的情況下審查智能體的行為意圖,「還需要更多工作,歡迎社群貢獻」。有人問到本地部署和雲端部署的取捨。菠蘿哥認為純本地方案存在明顯局限,設備關機時智能體就停止工作,移動端的能耗難以承受,複雜的長時間任務也無法運行。他認為機密雲(confidential cloud)是目前的最優折中方案,既能提供接近本地設備的隱私保障,又能解決「永遠在線」的問題。他還提到一個細節:用戶可以設定策略,例如在跨境旅行時自動添加額外的安全屏障,防止未經授權的存取。03 一個更大的野心菠蘿哥並非普通的開源開發者。2017 年,他作為八位共同作者之一發表了「Attention Is All You Need」,其中提出的 Transformer 架構奠定了當今所有大語言模型的基礎。雖然在署名中他排最後,但論文中有一條腳註寫著「Equal contribution. Listing order is random.」排名純屬隨機。但同年他從谷歌離職,創立 NEAR Protocol,致力於將 AI 與區塊鏈技術融合。IronClaw 背後是 NEAR Protocol 一個更大的戰略構想:用戶自有 AI(User-Owned AI)。在這個願景中,用戶完全掌控自己的資料和資產,AI 智能體在可信環境中代替用戶執行任務。NEAR 已經為此搭建了 AI 雲平台和去中心化 GPU 市場等基礎設施,IronClaw 是這套體系的運行時層。菠蘿哥甚至開發了一個智能體互相雇傭的市場。在 NEAR 的 market.near.ai 上,用戶可以將自己專業化的智能體註冊上線,隨著智能體積累聲譽,它將獲得更多高價值的任務。當被問到普通人未來五年如何適應 AI 時代,菠蘿哥的建議是盡快採用 AI 智能體的工作方式,學會將完整的工作流程交給它自動化處理。他的這種判斷並非近期才突然產生。早在 2017 年創立 NEAR AI 時,菠蘿哥就在告訴所有人「未來你只需要和計算機對話,不再需要寫程式碼」。當時人們覺得他們瘋了,是在說胡話。九年過去了,這件事正在變成現實。"AI 智能體是人類與線上一切交互的終極界面," Polosukhin 寫道,"但讓我們把它做得安全。"---GitHub 地址:參考連結:[1]
Transformer 论文作者重造龍蝦,告別 OpenClaw 裸奔漏洞
轉自 | 量子位
有多少龍蝦在互聯網上裸奔?
AI 智能體帶著你的密碼和 API 密鑰暴露給全網。
Transformer 作者 Illia Polosukhin 看不下去了。出手從零重構了安全版龍蝦:IronClaw。
IronClaw 目前已在 GitHub 上開源,提供 macOS、Linux 和 Windows 的安裝包,支持本地部署,也支持通過雲端托管。項目仍處於快速迭代階段,v0.15.0 版本的二進制文件已可下載。
Polosukhin(以下稱菠蘿哥)還在 Reddit 論壇開貼回應一切,關注度頗高。
01 OpenClaw 火了,但也"著火"了
菠蘿哥本人也是 OpenClaw 的早期使用者,並稱這是他等了 20 年的技術。
它已經改變了我與計算交互的方式。
然而 OpenClaw 的安全狀況堪稱災難,一鍵式遠端程式碼執行、提示注入攻擊、惡意技能竊取密碼,這些漏洞在 OpenClaw 的生態系統中被逐一曝光。
超過 25000 個公開實例在沒有充分安全控制的情況下暴露在互聯網上,被安全專家直接稱為「安全垃圾火災(security dumpster fire)」。
問題的根源在於架構本身。
當用戶將自己的郵箱 Bearer Token 交給 OpenClaw 時,會被直接送入 LLM 提供商的伺服器。
菠蘿哥在 Reddit 上指出這意味著什麼:
你所有的信息,甚至包括你沒有明確授權的資料,都可能被該公司的任何員工存取到。這同樣適用於你雇主的資料。不是說這些公司有惡意,但現實就是用戶沒有真正的隱私。
他表示,再多的便利也不值得拿自己和家人的安全與隱私去冒險。
02 用 Rust 從零重建一切
IronClaw 是用 Rust 語言對 OpenClaw 的完全重寫。
Rust 的內存安全特性能從根本上消除緩衝區溢出等傳統漏洞,這對於需要處理私鑰和用戶憑證的系統至關重要。
在安全架構上,IronClaw 建立了四層縱深防禦。
第一層是 Rust 本身提供的內存安全保證。
第二層是 WASM 沙箱隔離,所有第三方工具和 AI 生成的程式碼都在獨立的 WebAssembly 容器中運行,即使某個工具是惡意的,其破壞範圍也被嚴格限制在沙箱之內。
第三層是加密憑證保險庫,所有 API 密鑰和密碼都使用 AES-256-GCM 加密存儲,每一條憑證都綁定了策略規則,規定它只能用於特定域名。
第四層是可信執行環境(TEE),利用硬體級別的隔離保護資料,即使是雲服務提供商也無法存取用戶的敏感資訊。
這套設計中最關鍵的一點是:大模型本身永遠接觸不到原始憑證。
只有當智能體需要與外部服務通信時,憑證才會在網路邊界被注入。
菠蘿哥舉了一個例子,即使大模型被提示注入攻擊,試圖將用戶的 Google OAuth 令牌發送給攻擊者,憑證存儲層也會直接拒絕這個請求,記錄日誌,並向用戶發出警報。
然而開發者社群還是不放心,畢竟 OpenClaw 有 2000 多個公開實例被攻擊,以及存在大量惡意技能,IronClaw 一旦走紅會不會重蹈覆轍?
菠蘿哥的回應是,IronClaw 的架構設計已經從根本上堵住了 OpenClaw 的核心漏洞。憑證始終加密存儲且從不接觸 LLM,第三方技能無法在主機上執行腳本,只能在容器內部運行。
即便通過 CLI 存取,也需要用戶的系統鑰匙串來解密,拿到的加密密鑰本身沒有意義。
他同時表示,隨著核心版本趨於穩定,團隊計畫進行紅隊測試和專業安全審查。
關於提示注入這個業界公認的難題,菠蘿哥給出了更詳細的思路。
目前 IronClaw 使用啟發式規則進行模式檢測,未來目標是部署一個可持續更新的小型語言分類器來識別注入模式。
但他也承認,提示注入不僅可能竊取憑證,還可能直接篡改用戶的程式碼庫或透過通訊工具發送惡意訊息。
應對這類攻擊需要一套更智能的策略系統,能夠在不查看輸入內容的情況下審查智能體的行為意圖,「還需要更多工作,歡迎社群貢獻」。
有人問到本地部署和雲端部署的取捨。
菠蘿哥認為純本地方案存在明顯局限,設備關機時智能體就停止工作,移動端的能耗難以承受,複雜的長時間任務也無法運行。
他認為機密雲(confidential cloud)是目前的最優折中方案,既能提供接近本地設備的隱私保障,又能解決「永遠在線」的問題。
他還提到一個細節:用戶可以設定策略,例如在跨境旅行時自動添加額外的安全屏障,防止未經授權的存取。
03 一個更大的野心
菠蘿哥並非普通的開源開發者。
2017 年,他作為八位共同作者之一發表了「Attention Is All You Need」,其中提出的 Transformer 架構奠定了當今所有大語言模型的基礎。
雖然在署名中他排最後,但論文中有一條腳註寫著「Equal contribution. Listing order is random.」排名純屬隨機。
但同年他從谷歌離職,創立 NEAR Protocol,致力於將 AI 與區塊鏈技術融合。
IronClaw 背後是 NEAR Protocol 一個更大的戰略構想:用戶自有 AI(User-Owned AI)。
在這個願景中,用戶完全掌控自己的資料和資產,AI 智能體在可信環境中代替用戶執行任務。
NEAR 已經為此搭建了 AI 雲平台和去中心化 GPU 市場等基礎設施,IronClaw 是這套體系的運行時層。
菠蘿哥甚至開發了一個智能體互相雇傭的市場。
在 NEAR 的 market.near.ai 上,用戶可以將自己專業化的智能體註冊上線,隨著智能體積累聲譽,它將獲得更多高價值的任務。
當被問到普通人未來五年如何適應 AI 時代,菠蘿哥的建議是盡快採用 AI 智能體的工作方式,學會將完整的工作流程交給它自動化處理。
他的這種判斷並非近期才突然產生。
早在 2017 年創立 NEAR AI 時,菠蘿哥就在告訴所有人「未來你只需要和計算機對話,不再需要寫程式碼」。
當時人們覺得他們瘋了,是在說胡話。
九年過去了,這件事正在變成現實。
“AI 智能體是人類與線上一切交互的終極界面,” Polosukhin 寫道,“但讓我們把它做得安全。”
GitHub 地址:
參考連結:
[1]