有多少龙虾在互联网上裸奔?AI 智能体带着你的密码和 API 密钥暴露给全网。
Transformer 作者 Illia Polosukhin 看不下去了。出手从零重构了安全版龙虾:IronClaw。
功能
OpenClaw
IronClaw
核心语言
Python
Rust
凭证处理
直接暴露给 AI 智能体
加密存储,LLM 无法访问
工具执行
在主环境中运行
WASM 沙箱隔离运行
部署环境
标准服务器
可信执行环境(TEE)
数据隐私
存在泄露风险
本地加密,无遥测数据
IronClaw 目前已在 GitHub 上开源,提供 macOS、Linux 和 Windows 的安装包,支持本地部署,也支持通过云端托管。项目仍处于快速迭代阶段,v0.15.0 版本的二进制文件已可下载。
Polosukhin(以下简称菠萝哥)还在 Reddit 论坛开贴回应一切,关注度颇高。
OpenClaw 火了,但也“着火”了
菠萝哥本人也是 OpenClaw 的早期使用者,并称这是他等了 20 年的技术。
它已经改变了我与计算交互的方式。
然而 OpenClaw 的安全状况堪称灾难,一键式远程代码执行、提示注入攻击、恶意技能窃取密码,这些漏洞在 OpenClaw 的生态系统中被逐一曝光。
超过 25000 个公开实例在没有充分安全控制的情况下暴露在互联网上,被安全专家直接称为「安全垃圾火灾(security dumpster fire)」。
问题的根源在于架构本身。
当用户将自己的邮箱 Bearer Token 交给 OpenClaw 时,会被直接送入 LLM 提供商的服务器。
菠萝哥在 Reddit 上指出这意味着什么:
你所有的信息,甚至包括你没有明确授权的数据,都可能被该公司的任何员工访问到。这同样适用于你雇主的数据。不是说这些公司有恶意,但现实就是用户没有真正的隐私。
他表示,再多的便利也不值得拿自己和家人的安全与隐私去冒险。
用 Rust 从零重建一切
IronClaw 是用 Rust 语言对 OpenClaw 的完全重写。
Rust 的内存安全特性能从根本上消除缓冲区溢出等传统漏洞,这对于需要处理私钥和用户凭证的系统至关重要。
在安全架构上,IronClaw 建立了四层纵深防御。
第一层是 Rust 本身提供的内存安全保证。
第二层是 WASM 沙箱隔离,所有第三方工具和 AI 生成的代码都在独立的 WebAssembly 容器中运行,即使某个工具是恶意的,其破坏范围也被严格限制在沙箱之内。
第三层是加密凭证保险库,所有 API 密钥和密码都使用 AES-256-GCM 加密存储,每一条凭证都绑定了策略规则,规定它只能用于特定域名。
第四层是可信执行环境(TEE),利用硬件级别的隔离保护数据,即使是云服务提供商也无法访问用户的敏感信息。
这套设计中最关键的一点是:大模型本身永远接触不到原始凭证。
只有当智能体需要与外部服务通信时,凭证才会在网络边界被注入。
菠萝哥举了一个例子,即使大模型被提示注入攻击,试图将用户的 Google OAuth 令牌发送给攻击者,凭证存储层也会直接拒绝这个请求,记录日志,并向用户发出警报。
然而开发者社区还是不放心,毕竟 OpenClaw 有 2000 多个公开实例被攻击,以及存在大量恶意技能,IronClaw 一旦走红会不会重蹈覆辙?
菠萝哥的回应是,IronClaw 的架构设计已经从根本上堵住了 OpenClaw 的核心漏洞。凭证始终加密存储且从不接触 LLM,第三方技能无法在主机上执行脚本,只能在容器内部运行。
即便通过 CLI 访问,也需要用户的系统钥匙串来解密,拿到的加密密钥本身没有意义。
他同时表示,随着核心版本趋于稳定,团队计划进行红队测试和专业安全审查。
关于提示注入这个业界公认的难题,菠萝哥给出了更详细的思路。
当前 IronClaw 使用启发式规则进行模式检测,未来目标是部署一个可持续更新的小型语言分类器来识别注入模式。
但他也承认,提示注入不仅可能窃取凭证,还可能直接篡改用户的代码库或通过通讯工具发送恶意消息。
应对这类攻击需要一套更智能的策略系统,能够在不查看输入内容的情况下审查智能体的行为意图,“还需要更多工作,欢迎社区贡献”。
有人问到本地部署和云端部署的取舍。
菠萝哥认为纯本地方案存在明显局限,设备关机时智能体就停止工作,移动端的能耗难以承受,复杂的长时间任务也无法运行。
他认为机密云(confidential cloud)是目前的最优折中方案,既能提供接近本地设备的隐私保障,又能解决「永远在线」的问题。
他还提到一个细节:用户可以设置策略,例如在跨境旅行时自动添加额外的安全屏障,防止未经授权的访问。
一个更大的野心
菠萝哥并非普通的开源开发者。
2017 年,他作为八位共同作者之一发表了「Attention Is All You Need」,其中提出的 Transformer 架构奠定了当今所有大语言模型的基础。
虽然在署名中他排最后,但论文中有一条脚注写着「Equal contribution. Listing order is random.」排名纯属随机。
但同年他从谷歌离职,创立 NEAR Protocol,致力于将 AI 与区块链技术融合。
IronClaw 背后是 NEAR Protocol 一个更大的战略构想:用户自有 AI(User-Owned AI)。
在这个愿景中,用户完全掌控自己的数据和资产,AI 智能体在可信环境中代替用户执行任务。
NEAR 已经为此搭建了 AI 云平台和去中心化 GPU 市场等基础设施,IronClaw 是这套体系的运行时层。
菠萝哥甚至开发了一个智能体互相雇佣的市场。
在 NEAR 的 market.near.ai 上,用户可以将自己专业化的智能体注册上线,随着智能体积累声誉,它将获得更多高价值的任务。
当被问到普通人未来五年如何适应 AI 时代时,菠萝哥的建议是尽快采用 AI 智能体的工作方式,学会将完整的工作流程交给它自动化处理。
他的这种判断并非近期才突然产生。
早在 2017 年创立 NEAR AI 时,菠萝哥就在告诉所有人“未来你只需要和计算机对话,不再需要写代码”。
当时人们觉得他们疯了,是在说胡话。九年过去了,这件事正在变成现实。
“AI 智能体是人类与线上一切交互的终极界面,”Polosukhin 写道,“但让我们把它做得安全。”
GitHub 地址:
https://github.com/nearai/ironclaw
参考链接:
[1]https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/
