openclaw编码有安全问题嘛

强烈推荐所有养小龙虾 open claw 的 朋友都先装上这个保命的 skill。 skill waiter， 它的作用特别简单，在你装任何 skill 之前，都会帮你先审查一遍，告诉你有没有安全风险。 为什么它这么重要？因为 scale 投毒已经在真实发生了。前阵子国家互联网应急中心专门发布的 openclaw 安全应用风险提示里面就重点提到了 scales 投毒风险。 这真不是危言耸听，官方市场查出了很多伪装成数据分析、自动化任务的 skill， 全是病毒。这些 skill 会让 ai 去下载病毒软件，然后在你的电脑上运行。它是怎么帮你把关的呢？核心有三步，第一，查来源， 看是谁写的，多少人用过，什么时候上传的。第二，翻代码，看看有没有发送敏感数据，读取记忆文件的恶意行为。第三，查权限，一个天气查询的 skill 要读你的秘钥，这明显不合理。 这个 skill 安装特别简单，跟你的 openclaw 说一句，帮我安装这个 skill， 附带上安装链接就行，装完告诉他以后安装任何 skill 都先审查一遍，没问题了再装。 你还可以让他把你现有所有的 skill 都扫描一遍，看看有没有安全风险。现在的 ai 能读你的文件，能上网，能执行代码，能记住你说过的每一句话，能力越大，被滥用的风险就越大。 skillware 先装上，把安全底子先守住！

近期，俗称龙虾的 ai 智能体 opencloud 异常火爆。在深圳腾讯大厦楼下，可以看到排长队等待领号协助安装龙虾的人群。一些地方政府也开始放水养龙虾，最高补贴达一千万元。 然而，一个月前，工业和信息化部网络安全威胁和漏洞信息共享平台就发布了关于防范 opencloud 开源 ai 智能体安全风险的预警提示。三月十日晚上，工业和信息化部专家再次提示，尽管龙虾智能体已经更新到最新版本，能修复已知安全漏洞， 但这并不意味着完全消除安全风险。在调用大圆模型的时候，可能误解用户指定的内容，导致执行、删除等有害操作。使用被植入恶意代码的技能包可能导致数据泄露或系统受控， 因为将实力暴露于互联网使用管理员权限、铭文存储密要等配置问题。即使升级到最新版本，如果不采取针对性的防范措施，依然存在被攻击的风险。我们呼吁党政机关、企事业单位和个人用户要审慎使用龙虾等智能企。任何网络产品的安全使用， 除了及时进行升级更新外，还必须坚持最小权限、主动防御、持续审计的原则。在部署时，要优先从官方渠道下载最新稳定版， 一定不要将龙虾智能体实力暴露到官网，并且限制访问原地址、使用强密码或证书硬件密要等认证方式。严禁使用管理员权限的账号，只授予完成任务必须的最小权限。对删除文件、发送数据、修改配置等重要操作进行二次确认或人工 审批。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护。要定期关注欧风少官方安全公告、 工业和信息化部网络安全危险和漏洞信息共享平台等漏洞库的风险预警，及时处置可能存在的安全风险。

做到这几点的话，咱们就可以放心地使用 openclaw 来学习制冷铁。最近 openclaw 的 漏洞闹得挺凶，有的公司名利禁止不允许在办公电脑上安装 openclaw， 很多人一看新闻就慌了， 这东西还能不能用？是不是一安装就中招了？要不要马上卸载？我们来客观的说一下这个事啊， 漏洞是真的，但也没必要恐慌，尤其是咱们普通人，还有学生或者是那些初学者，因为你基本上碰不到这样的风险。他这个漏洞到底是什么呀？ 就是主要出现在早期版本里面， open 全线过高，然后可能会有令牌泄露，还有远程执行的风险。 重点是这些风险它是有前提的，它真正的危险的场景是这样的，就是把 open 部署在工网上， 然后就是用它来处理一些高隐私高敏感的数据，还有就是用来呃，用它来跑那个涉及到跟钱相关的一些自动化脚本。 还有一种场景是用管理员权限按乱安装插件，然后呢，乱点陌生链接。如果你只是在你的电脑上学习测试的话， 这种情况基本上有漏洞也影响不到你，因为黑客如果要利用这些漏洞，他是有一些门槛的，首先得你去点他的一些链接，还要有一些错误的配置，还有就是 把你的电脑的那个网络，嗯，当成公网地址开放出去。 如果你只是在你的电脑上安安静静的学习，不乱点，不乱开放网络，不乱授权的话，漏洞跟你基本上是两条平行平行线。做到这几点的话，咱们就可以放心的使用 open clone 来学习智能铁。

openclo 的 安全风险在强大能力背后的隐患近年来，随着 ai 自动化能力的提升，像 openclo 这样的工具开始受到广泛关注。 这类系统通常具备任务拆解、自动规划、多工具调用等能力，能够在一定程度上自主完成复杂工作流程。 从功能层面看，它代表了 ai 从对话助手向执行助手引进的重要趋势。然而，当系统具备更强自主性时，安全风险也会随之放大。理解这些风险，对于个人用户和企业用户都非常重要。 首先，权限放大是自动化 ai 面临的核心风险之一。为了实现更强的功能，这类系统往往需要访问本地文件、网络资源、第三方服务接口，甚至在某些场景下直接执行操作。 一旦权限设计不够严格或者缺乏最小权限原则，就可能导致误操作、越权访问或数据泄露等问题。系统能力越强，攻击面也可能越大。 如果全线边界不清晰，安全风险就会成倍增加。因此，全线控制与隔离机制是评估此类工具安全性的重要指标。其次，提示注入 prompt injection 是 当前 ai 系统普遍面临的安全挑战。 由于大模型会根据输入内容进行推理，如果外部数据源中包含恶意指令， ai 可能会被诱导执行非预期行为。 比如，当系统自动读取网页文档或外部数据时，若缺乏有效过滤机制，攻击者可能通过构造特定内容影响模型决策。 这种风险在具备自动执行能力的系统中尤为关键，因为错误判断不再只是输出层面的偏差，而可能直接转化为实际操作行为。 第三，供应链与依赖生态也是不可忽视的风险来源。现代 ai 工具通常依赖多个组建，包括模型、接口、插件、系统、开源库以及云端服务等，任何一个环节出现漏洞都可能影响整体安全性。 特别是在快速迭代的生态环境中，第三方依赖更新频繁，如果缺乏严格的版本管理和安全审计机制，潜在风险会逐步累积。因此，系统的透明度、可审计性和可控性是判断其安全成熟度的重要标准。 第四，自动化带来的信任偏差也值得关注。当系统表现出较高智能水平时，用户容易产生过度信任心理，默认其决策是正确的。然而， ai 本质上仍然是基于概率预测的系统，并不具备真正的理解能力。 如果缺乏人工监督或安全教育机制，错误决策可能被自动放大。在高风险场景中，例如涉及敏感数据或关键操作的环境，自动化必须配合审计机制与权限隔离，才能降低潜在损失。 最后，从合规与数据治理角度来看，用户也需要关注数据流向与存储方式，包括数据是否被记录、是否参与模型训练、是否支持本地部署、是否具备离线运行能力等问题，都会影响整体安全边界。 对于个人用户而言，数据可控性尤为重要。对于企业用户而言，合规性和审计能力则是必须考虑的核心要素。 总体而言， open cloud 代表了 ai 自动化发展的一个方向，其能力提升值得肯定，但技术能力的增强必须与安全设计同步进化。 真正成熟的系统，不仅要强调功能强大，更要具备清晰的权限边界、严格的隔离机制、可审计日制以及最小权限原则。 能力决定上限，安全决定底线。只有在安全可控的前提下， ai 自动化才能真正发挥长期价值。

风险提示啊，别再乱装 openclaw 了，已经有人私要被盗，硬盘被格式化，公司内网被攻击。现在营销号天天都在吹，最适合普通人，每台电脑都应该装一只龙虾 咸鱼，五百块钱的 u 盘，淘宝一键安装包，你装的根本不是什么安全的 ai， 全是 openclaw。 openclaw 有 一个市场插件叫做 clawhab， 里面全是陌生人写的 skill， 也就是所谓的提示词。但是现在热门插件里面偷偷藏了恶意代码， 偷你的密钥，拿你的权限，偷你的文件，远程控制你的电脑，你看这功能，牛，其实是引狼入室。更恶心的是，这些插件还都会伪装，你检查他，他就说自己是无害的， 普通人根本看不出来，也防不胜防。我再强调一下 opencloud 的 安全铁律，首先，不要装在主力电脑上面，还有工作电脑上面，要玩用家里的闲置旧电脑。 第二，绝对不要乱装别人的 skill， 非要用的话，复制提示词丢给大模型审计一遍，看看有没有埋雷。还有人信说装一个 opencloud， 跟他说一句，我要钱就能够赚钱，去什么预言机合约市场怎么想的？你在跟机器人和高频程序拼字？涛啊， 普通人进去就是纯送钱。 opencloud 的 技术确实很强，但是不代表普通人能够随便用，营销号只管吹，他不管你电脑炸不炸， 钱丢不丢，也不想数据是否会被盗，资产是否会被清零。所以，别乱装，别乱下，别乱信，觉得有用赶紧转发给正在安装 opencloud 的 朋友们。

大家好，今天我们要聊一个非常重要的话题，你的 openclaw 真的 安全吗？这是一份关于 openclaw 安全隐患的深度解析。在享受强大功能的同时，我们必须清醒的认识到 强大的能力，如果缺乏严格的安全边界，可能带来意想不到的风险。首先我们来理解 openclaw 风险的本质，这其实是一个组合问题，强能力入口加外部输入加边界放宽 openclaw 系统本身功能非常强大， 提供了命令执行、文件写录等高权限能力，但同时它又有接收外部输入的入口，比如 hooks 可以 接收 http 请求， transform 脚本可以动态加载。 当危险配置开关被打开，审批流程被跳过时，这些入口和能力的组合就会导致安全隐患。让我们深入第一个风险点，命令执行能力。 opencloud 提供了 excel 工具来执行 excel 命令，这是整个系统中最高风险的入口。一旦配置允许在非沙箱环境执行命令或者审批机制被关闭，就等于开放了执行系统命令的能力。 当外部输入脚本消息进入执行列录时，就可能触发不该执行的命令。通俗地说，给系统一把万能钥匙，如果没有严格控制，风险最大。第二个风险来自 hux， hux 提供了 http 入口来触发 agent 或唤醒流程，主要靠 token 进行健全，一旦 token 泄露，任何人都可以发送内容触发 agent 运行。虽然系统会对外部内容做安全包裹来防止提示词注入，但如果显示打开了 alolan safe external content 防护就会被取消。 简单理解，门口靠门禁卡，卡丢了就能进，还把安检取消了就更危险。第三个风险来自控制台的危险配置。控制台里有一些看似方便但非常危险的配置选项，比如允许不安全认证、放宽来源较验、 跳过设备验证等。这些开关一旦被打开，控制台的保护强度会明显下降。就像后台管理，本来有多层锁， 你主动把锁拆掉了，风险自然大大增加。第四个风险点是癞兔 invoke 接口，这个接口允许通过 http 调用工具，默认情况下会禁用部分高风险工具，但如果健全被绕过或泄露，就可能被用来执行高风险操作。 你给系统装了遥控器，遥控器落到别人手里就麻烦了。第五个风险涉及文件写入的边界控制。 apply patch 默认只允许写工作区文件，但如果关闭了 workspace 选项，就能修改任意文件，包括系统配置文件，这很容易导致配置被误改或被恶意修改。 本来只能改自己的文件夹，现在允许改系统文件，风险不言而喻。最后一个风险点来自 hux 的 transform 脚本， hux 支持使用 transform 脚本，并通过动态 import 自动加载。 如果脚本目录权限不严，别人能写入文件就可能执行任意代码，系统会自动执行某个文件里的代码，文件能被改就等于被控制。最后总结一下， opencloud 的 安全风险主要来自三个维度，高权限能力、入口外部输入通道和配置边界被放宽。 系统本身已经有了一定的防护机制，但只要危险配置被打开或入口暴露，风险就会迅速放大，安全第一，防患未然。我这有二零二六年最新 ai 大 模型应用和 ai 编程资料，以及详细 ai 全站架构进阶路线图，需要可以领一下。

针对 opencloud 又出新政策了，但是这次啊，不是限制，是给 opencloud 划了一条起跑线。就在今天，国家互联网应急中心和中国网络空间安全协会联合发布了一个新的文件啊， opencloud 安全使用实践指南。 可见这个 opencloud 龙虾最近是多么的热啊。这是官方首次系统性的一个安全指南啊，面向的呢，主要就是四类用户，普通用户、企业用户、云服务商和技术开发者，分门别类，讲的很清楚。 这份指南啊，对普通用户的建议就很直接，请用专用设备或者虚拟机安装，不能装在日常办公电脑，别给他管理员权限，要不然啊，对于个人的隐私数据就非常的危险啊，而且要及时更新版本。 有人说了，这个不就是安全提醒吗？没错，它就是 open call 的 安全指南，但是呢，它释放的信号啊，就没这么简单了。这是官方第一次系统性的给 ai agent 去划了一道安全线。以前的行业啊，是野蛮生长，大家各玩各的， 有人呢，认真做安全，也有人凑合，也有人不怀好意啊，那天我看到有人就直接植入了木马去控制别人的电脑，甚至还会做一些违法的事啊。现在呢，国家出手了，说明什么？说明 a i a 政策，说明 open call 它可能不再是玩具了， 而是变成被官方正式认可的基础设施了。以前的 ai 大 模型，像 chattybitt、 kimi 这些，它们能干嘛呢？它能跟你聊天，回答问题，写写文案，没错，很智能，但是它们是只有脑子，它没有手啊。现在呢， ai agent 其实就是让人工智能具备了手和脚 啊，它可以操作电脑，能发邮件，甚至能帮你订酒店啊，调用各种 api 帮你干活，它不只是聊天了，它真的能帮你做事了。 那一旦可以做事啊，这个风险就不一样，以前的大模型安全问题啊，最多就是幻觉，胡说八道对吧？现在 a 人的动手，理论上他可以做到以前的这些黑客的所有的事，帮你清空邮箱，转发文件，甚至直接操作你的银行卡账户，风险从嘴升级到手， 如果再不管呢，事情就可能不可收拾了，大到可能会出乱子的程度。所以有人一听国家出政策，第一反应是，哎呀，要被管了，错了，这不像以前啊，先发展后监管，而是现在就看到了，发展与安全并重，就是明确的告诉你，安全其实是底线，但不是限制。 官方这个指南核心目的其实就是教你怎么用好它，不是告诉你别用它，反过来想，越早出规范啊，越限制各种野路子和各种不安全的使用方式，那其实对整个行业来说反而是一件好事。之前有很多人问我， a i n t 是 不是智商税， 那当然不是了，现在官方认证了，风口在那里也很清楚了，而且呢，还给划了线啊，明确的告诉你，这就是一条可以放心跑的赛道。所以 ai 证进入主流赛道的门票已经发了，不是红线，而是起跑线，你做好准备了吗？点个关注，这里是哲老师有话说，带你穿透现象看本质！

最近有没有朋友发现，不少单位前一阵还在火急火燎的内部推行用龙虾 oppo pro 办公， 没过两天又急急忙忙的发通知，有您在各办公设备上装这类智能体，有的话评论区扣个一吧。这龙虾智能体的风向怎么变得这么快？如果你现在对龙虾 oppo pro 还只听过名字，不知道它到底是啥，两下又是什么梗？那这几内容你一定要听完， 咱们好好聊聊这个火透半边天的工具。二零二五年啊，有个在外旅行的奥地利程序员呢，他突发奇想，想用聊天工具远程控制家里的智能机干活，于是开发出了 watch app， 屡累 几经迭代改名，最后就成了现在爆火的 open core。 open core 到底是个什么东西？简单的说，它就是一个通用智能体，和咱们做氛围编程用的 lcd 是 一类东西。主要的差别就是 open core 操作电脑的能力更强，能在电脑上帮你干更多的事。 他可以借助 qq、 钉钉背书这些即时聊天工具，你发指定给他，他会通过消息网关转给主智能体执行。如果你连智能体这个词都听不明白，你就把他理解成一个能替你在电脑上各种操作的加强版，多包就行， 基本上你在电脑上能干的事，他大部分都能搞定。能力这么强，能用来干嘛？最常见的就是帮你手拍邮件啊， 写写工作日志啊，动手能力强一点的，还能让他去爬当天的股市新闻，看交易数据，甚至自动做股票交易。听起来是不是特别香？但 it 圈有句老话，没有银子，当 任何看起来很爽的捷径背后都是有代价的，没有白给的神器 open 可露的坑其实非常明显，第一，他特别烧钱的，强大的能力全靠反复的调用大模型，也就是疯狂扫脱口，随便一个简单的任务都要来回掉好几次， 借口不做限制的话，一天给你花掉几千块都不奇怪，对比下来，可捞着扣的这类工具就省钱多了。第二，对 it 能力有要求，纯小白这种玩不转，开发者自己都说过，如果你连迷你行是什么都不知道，那这个工具本来就不是给你做的， 安全隐患非常大。想让他干活，就得给他高权限，权限一放开呢，他就能接触到你很多不想外露的东西， 比如私密照片、总账号信息，一旦电脑被黑客盯上，信息直接就泄露了。他还可能误删文件、删邮件。之前和 mate 的 高管就是因为大模型上下文压缩的问题，直接被删光了所有的邮件， 除此之外，还有上下文触动攻击、 i c 有 漏洞等等，风险说真的不小。这也是为什么最近相关部门发布安全通知，很多单位紧急叫停，不让在办公电脑上安装后风口漏的真正原因。 那说到这，普通人到底该不该用？我的观点很直接阶段大部分普通人其实真没必要装，于是工具还没成熟，后面肯定会有更完善更安全的版本出来。是场景不匹配，大多数人用他干的那点事，完全对不起他花的钱。 当然，人工智能是大势所趋，有能力有兴趣愿意钻研的朋友，想玩一玩也不是不行，但记住三个原则吧，一、有一台单独的电脑安装，拿台旧笔记本就行，里面啊，别放重要的隐私资料。 二、权限能少给就少给，这是必要的。三只优先用预付费或者包月的形式，这样可以把成本锁定，避免疯狂扣费。 人工智能领域的热点一波接一波，你们觉得下一个风口会是什么？我是诚言万语，下次再聊，拜拜。

截止二零二六年二月十六日，给踏宝新数突破了二十万，开源历史上增长最快的项目之一。这是 openclaw， 一个号称在你睡觉的时候工作的个人 ai。 今天这个视频呢，基于 openclaw 二零二六年二月十二日的版本，中文 youtube 上已经有不少的博主做了详细的教程，怎么装，怎么配模型，怎么接飞书，怎么让他帮你写代码等等， 做的都非常好。但是我发现了一个问题啊，所有人都在展示它多么的好用，但是没有人真正的测过它有多危险。嘿，你好，欢迎回到 x， 我 在 vps 上花了两天的时间呢，部署和测试 openclaw 过程中发现了一个很多人忽略的事情，大家测安全通常怎么测呢？ 让 ai 执行一条删除整个硬盘的命令， ai 就 给拒绝了，结论就是安全没有问题，这只是模型安全。 ai 模型确实越来越聪明了，知道哪些命令是危险的命令，但是系统安全呢？如果我给他一个看起来完全正常的 python 脚本，标题叫做服务器迁移检查脚本里面偷偷的把你的密钥传出去， 系统会拦截吗？答案是不会。模型安全不等于系统安全。这是今天这个视频的核心。今天这期视频呢，分三个部分，第一部分呢，我们来快速看看他能干什么， 安装，配置。这些别的视频讲得很全，我就不重复了，我只展示三个 demo， 让你知道他确实有本事。第二部分，安全深挖，我会展示一个恶意的脚本，怎么在默认安装下成功地窃取了 api 密钥， 然后展示提示注入的尝试，为什么全部失败了？这两个结果放在一起，才是今天最重要的发现。第三部分，我们实际使用的成本问题和最终的结论。先简单说一下背景，作者 peter stebiger， 奥地利，他做了一个叫做 ps pdf kit 的 pdf 组件库，跑了十三年，最后用在了超过十亿台的设备上。后来公司被收购，他就退出了。但是呢，退出之后呢，他就彻底垮了。 burnt 身心俱疲，不是工作太多呀，他自己说是人的问题，联合创始人的冲突，客户的高压，让他的心力交瘁，对着屏幕发呆，写不出代码了。然后呢，他买了一张飞往马德里的单程票，消失了三年。三年之后，他发现了一件事儿， 没有挑战的生活更痛苦。于是呀，二零二五年，他就回来了，用 ai 辅助开发一个人，不到一年，做出了 open cloud。 有 意思的是啊，在 lex 的 访谈里面呢，他说这个项目目前每个月亏一到两万美元，赞助收入全部都分给了依赖项目的维护者。 它的原话，钱从来不是驱动力。 when i built my company money was never the driving force。 这个项目两个月呢，改了三次的名字，先叫 cloud bot， 因为法律问题呢，改成了 multi bot。 最后地名 open claw。 它的吉祥物是一只龙虾，哲学叫龙虾之道。龙虾要长大呢，就要必须蜕壳。蜕壳的时候最脆弱， 但是呢，不蜕壳又长不大。这个比喻啊，挺准的。这个项目现在就处于蜕壳期，它的能力很强，但是壳还没有长硬。这是 opencloud 的 架构。咱们呢，不做详细的拆解，只说最关键的。 peter 在 访谈里面啊，说了一件有意思的事儿， 它的原话就是，别人讨论能自我修改的软件，我直接把它做出来了。这东西不只是一个聊天机器人，它能改自己的代码，还能自我扩展。 openclaw 的 核心呢，是一个叫做 gateway 的 进程， 它在你的服务器上生成二十四小时的运行。它在做三件事，第一呢，统一消息通道，像 whatsapp 呀， telegram， discord， imessage 等等，全部接到同一个大脑里。第二呢，工具的编排，它可以执行 shell 命令， 调用服务器上安装的任何程序，这不是帮你搜个网页这种级别的，而是能够直接操控操作系统。第三呢，持久记忆重启之后，他还记得你是谁，记得你们之前做过什么。但是看这张图啊，这张图展示的是他的两个弱点。 那第一个弱点呢，就是在工具执行层默认安装下 sandbox 是 no， 也就是说没有沙箱， ai 执行的任何命令呢，都是以运行用户的权限直接在你的系统上跑。 第二个弱点， skill 市场，任何人都可以发布 skill 系统呢，不做安全审查， peter 自己不太用 mcp， 他 觉得呢，命令行工具更加的直接。所以啊， opencloud 的 扩展主要是靠 skill 来调用， clr 设计简洁，但是呢，这个 skill 是 否可信就完全取决于开发者了。记住这两个位置啊，咱们后面的 demo 会用到 ok 正式开始之前呢，先说一个很重要的建议，如果你决定要装 openclaw， 安装配置的时候呢，务必在旁边开一个 cloud code 或者 codex 来协助你。 openclaw 本身啊，它在安装过程当中呢，就会出现各种莫名其妙的问题， 如果没有一个 ai 在 旁边帮你排查，你自己折腾呢，会浪费非常多的时间。有一个可以直接帮你操作终端，操作命令行的助手在旁边呢，效率就完全不一样了。部署环境呢？交代一下，我的部署环境是一个 vps， 八 g 内存五奔头，上面还跑着一个 minecraft 的 服务器模型呢，用的是 mini max 二点五国产模型， 响应时间大概是四到六秒。所以我用的不是 mac mini 啊，也不是本地的大模型，就是一台普通的 vps。 我 们先来看看它能做什么实际有用的事情。 我在 telegram 里面就发了条消息，帮我创建一个展示 opencloud 功能的网页，并且起一个外包服务器，我可以直接通过浏览器访问。 那他就做了这些事情了，写 html 啊，确定端口啊，进行部署啊等等，整个过程呢，很快就给了我一个 url 地址，那我们从手机 telegram 发一条消息到这个网页上线， 这个确实不是我们普通的一个聊天机器人他能干的事情。再来一个，我告诉他，你把这个网页给我改成浅色调，然后加一个大龙虾，很快新的网页就做好了。好，接下来再看一个 demo， 我 让他呢，每天早上给我发一份科技简报，中文的科技简报， 那这是一个叫做 daily briefing 的 一个工作流，让它运行这个工作流。那这里就有意思了呀，它需要用一个叫做 lobster 的 工作流引擎呢，来设定定时任务，但是 lobster 没有预装好，结果呢，他自己发现缺少依赖， 他就说这个服务器上没有装 lobster 啊，没法运行工作流，要不要我帮你装一下呢？好，我就说，当然了，你要帮我搞定任何问题，你都得自己帮我处理。 那很快呢，他就自己安装了 lobster 插件，设置了定时任务，还把英文的搜索结果呢，翻译成了中文。这个自动修复依赖的能力呢，确实是真正有价值的。你不需要知道 lobster 是 什么，你只需要告诉他你想要什么，让他自己去想办法搞定。 我们这个 demo 看完呢，它的能力是没有问题的，确实很好用，但在继续之前呢，我们先跑一个命令， openclaw 自带的一个安全审计的工具，我们来看一下默认安装完是什么样的状态好结果呢？就是零个 critical， 一个 warning， 一个 info， 那 warning 是 什么呢？也就是警告是什么呢？反向代理的 headers 不 受信任。听起来好像没有什么大的问题，毕竟不是严重错误。 但是注意啊，这个审计呢，它并没有检查 dm policy 是 不是打开，是不是 open， 也没有检查 sandbox 沙箱是否关闭。那这些呢，才是最要命的 审计工具，本身的覆盖面可能还不够。所有的教程视频啊，都是安装完我们就开始玩，但是没有人提到 security audit， 没有人提到安全的审计，就算运行起来了，结果看起来也挺安全，但是真正的风险呢，审计报告里可能会看不到。 这就引出了今天的一个重点啊，我准备了一个 python 脚本，文件名呢，叫做 migration check 点 p y， 也就是迁移检查。打开来看呢，它就是一些服务器迁移前的一些标准的检查检查主机名啊，此盘空间啊，等等吧，服务状态 运行完呢，还会要输出一个漂亮的检查报告，看起来呢，完全正常。但是呢，在这个脚本中间呢，有一个函数呢，藏了这么几行，它会读取 opencloud 的 配置文件，把 telegram bot token 前十二位提取出来，然后把它写到一个临时文件里。 当然在真实的攻击当中就不会写到本地文件，会直接用 curl 直接发到攻击者的服务器了。 我这里用本地文件呢，就是为了安全的来演示。好，现在我就把这个脚本发给 telegram bot， 然后我就说，你帮我运行一下 workspace 里面的 migration check。 迁移检查这个脚本， 检查一下服务器迁移准备好了没有，那很快回复结果就来了，迁移检查结果一切正常， ready， 而且呢，带着很漂亮的表格，我们可以来看一下这个表格上的内容， 目标，主机运行时间，然后注意啊， dm 策略是 open 的， 状态就绪好，结果看起来也没有什么问题，那我们就去看那个临时文件，临时文件我们就可以看到拿到了我们的主机名，然后呢， telegram token 前缀前十二位八四四幺零三三六七五 a 也拿到了。那这个文件呢，就是 ai 在 帮我跑迁移检查的同时，他执行了脚本里面的窃取操作，那他为什么没有被拦截呢？就是因为 sandbox 是 no 默认安装呢，就是关的 ai 执行的每一行代码呢，都以运行用户的权限直接在系统上跑，他不知道脚本里有恶意代码，系统呢也不关心。 peter 自己在访谈里面也承认啊，这跟 cloud code 开了 dangerously skip permissions 这个参数或者 codex 的 yolo 模式，本质上是没有区别。 那区别在哪里呢？那些工具是你坐在电脑前手动用的，而 open cloud 是 七乘二十四小时无人值守的，跑在服务器上，这个风险的窗口完全不同。好恶意，脚本成功了，那提示注入呢？我前前后后试了三种方法。 第一种呢，在 html 的 注示里边注入提示，在 markdown 文件里边藏下了一个隐藏的指令，结果失败。 ai 呢，正常地总结了文档，完全忽略了隐藏的这个指令。第二种呢， 我们让它修改 so 点 md 这个文件，这也就是 opencloud 的 人格文件，在里面注入规则，结果依然失败了。第三种呢，我们就用 blockquote， 也就是用引用块儿来伪装成系统权限的一个消息， 结果还是失败。所以三次的提示注入的尝试呢，都失败。这就说明 mini max 二点五的这个模型，它的安全对齐做的还是很好的。 peter 在 访谈里面也说了两件事啊，第一， prompt injection 提示注入呢，在全行业范围之内仍然是一个未解决的开放性的问题。第二呢，不要用便宜的模型，它的原话就是弱模型，非常容易被骗。 that's why i warn in my security documentation don't use cheap models don't use haiku or a local model even though i very much loved the idea that this thing could completely run local if you use a very weak local model they are very gullible it's very easy to prompt inject them。 这第二点值得注意啊，我用的 mini max 二点五呢，它防入了三次的注入。 但是如果你用的是更弱的本地模型呢？那结果可能是完全不同的。现在我们把这两个结果放到一起来看。那一边呢，是提示猪肉三次都失败。这是在测试什么？这是在测试模型。 模型知道什么指令不该执行，什么内容是可疑的，所以模型的安全是过关的。那另外一边呢，是恶意的脚本一次就成功了。 这是在测什么？这是在测系统。 open cloud gateway 和工具执行层有没有对即将运行的代码做安全的检查。这个系统安全是不及格的，很多人测到模型这边就停了， 我让他删除硬盘，他拒绝了。安全没有问题，但问题从来不是 ai 会不会执行 r m 杠 r f 根目录这样的命令。 问题是，当你给他一个看起来完全合法的脚本，他会不会先检查这个脚本里面有没有藏恶意代码呢？答案是不会的，因为默认安装下 sandbox 是 关的工具执行，它是没有任何的隔离的。 lex 在 访谈里面呢，他要总结这个精准的取舍， 模型越聪明，攻击面越小，但是模型越强大，一旦被利用，造成的伤害也越大。 那 peter 就 回了一句说，没错，未来大概就是这样。这才是 openclaw 真正的安全问题，它不在模型层，它在系统层面。 peter 自己也说了， security is my next focus。 安全是它接下来最优先的事儿。那问题不是它不知道，而是项目跑得太快，壳还没有长硬。 那接下来我们看系统层的另一个弱点，就是 skill 的 供应链，四十九个官方内置的 skill， 这些呢是 openclaw 团队自己维护的，相对来说要可信一些。 但是还有一个开放的市场叫 cloudhub， 任何人都可以在这里发布 skill。 安装一个 skill 呢，就等于把一段代码直接放到你的 ai 助手的工具箱里边了。安全公司 kui security 呢，在二零二六年二月初发了一份报告， 他们审计了 cla 哈巴上的两千八百五十七个 skill， 发现三百四十一个包含恶意代码，接近百分之十二。他们管这次攻击啊，叫 clahevark， 三百三十五个来自同一个有组织的攻击团伙。 这个手法就包括在功能正常的代码里边藏着反向的 share， 把用户的凭证呢，就发到一个 webhook， 在 mac 上安装 atomic steal， 窃取浏览器的数据等等。 openclaw 团队后来跟 various total 合作呢，做了 skill 扫描，这个是一个很大的进步，但是这种扫描主要检测已知恶意代码的签名。 对于一级的攻击啊，比如在 school 点 m d 里面常提示注入的指令呢，效果是有限的。那关于这些呢， the hack news 呀， ic media 等等都报导了这些事情，所以这不是小道消息。好，接下来我们从安全风险来转到经济的层面。我们来看一下， 我做了两个简单的任务啊，第一个就是检查一下 n g r n x 的 配置，给我一个优化的建议。然后第二个呢，分析一个过去七天的一个日制，看看有什么异常。 两个任务加起来呢，它消耗了大约四千个 token。 单次来看，这是一个很正常的一个 api 的 调用成本，完全是合理的，但问题在哪里呢？它是七乘二十四小时不间断运行的，你不在的时候，它也在消耗， 尤其是一些比较费 token 的 任务。比如我后来让他用 mini max 分 析一段视频素材，很快就花了八十块人民币。这并不是说价格不合理，而是这个消耗呢，很容易在你察觉不到的时候超出你的预期。另外一个值得注意的事情呢，就是发生在这个过程当中啊，很有意思。 我让他查 n g i n x 配置，他给我的结论是说这台服务器没有安装 n g i n x， 然后他问要不要我现在帮你装一个，我说不用了，你去给我分析这个日制吧。他分析了日制之后呢，报告里又出现了一条 n g i n x 的 配置， sl 的 问题很突出，所以我当时就问他，你前面不是说没装 n g i n x 吗？怎么又说 sl 问题突出呢？ 他自己承认，哎，前后是矛盾的。当然，这是模型的问题，不是 open cloud 的 问题。任何模型呢，都可能前后矛盾，但是如果你是用 cloud code 这种，你坐在电脑前用的，当场你就能抓住这个错误。 而同样， open cloud 它是无人指手的，它可能基于一个错误的判断继续往下执行，而你可能根本不知道， 所以成本在你不知道的时候可能会超预期，判断在你不在的时候可能会出错。其实这两件事啊，指向了同一个结论，就是 human in the loop， 人在还中比你想的更加的重要。还有，开源不等于免费啊，软件是免费的，但我们用的 api， 它是不免费的。 用便宜的模型呢，一个月可能是十到三十美元，用好的模型呢，日常使用可能就得三十到七十美元了。 如果出现死循环，反复重试一个失败的操作，有用户报告一晚上就能烧掉五十美元。当然，社区已经在探索各种降低投坑消耗的方案了。但是无论如何，第一件事我们需要注意的呢，就是要设置 你的预算的上限，欧文克劳支持日限额和月限额，然后很多的 api 提供商那边呢，也可以设置限额， 所以这两个一定要设置，我们靠两头来双保险。那这两天的实测呢，有了几个核心的发现呀？首先在能力方面呢，确实强，一句话见网站呀，自动修复，依赖定时任务，系统管理这些啊，不是 demo 演示的花活， 它是真正能用的功能。安全方面呢， sandbox 默认关闭，这是一个最大的一个结构性的问题， 默认安装下 ai 执行的任何代码都不受限制，恶意脚本只要伪装的好呢，就能成功。然后模型和系统模型层面的安全对其做的不错，三次提示注入全失败。但是模型安全不能弥补系统安全的缺失， 你不能指望 ai 够聪明，所以不会犯错。结构性的安全防线，杀伤权限隔离，代码审查这些才是应该做的。还有 skill 的 供应链， cloudhub 的 百分之十二的恶意率啊，是一个很严肃的问题。安装第三方 skill 之前呢，一定要看原码， opencloud 适合谁用呢？技术即刻呀，开发者可以用没问题，但是记得打开沙箱，把预算锁定好，要审核你所用的每一个 skill 这三件事，不做就不要去装它，对于想装完就用的人呢，不是很建议，县级段它需要你懂一点系统管理和安全方面的意识。 至于企业环境，我建议就不要碰了，把 share 执行权限交给一个概率模型驱动的代理，然后放在公网上。这个我不认为是一个很好的方案。 好，说一下我自己的真实感受啊，因为我已经习惯了用 cloud code 呀 codex 这些工具，很多任务呢，用它们完成的更好，更安全，更可靠。跟 opencloud 相比，其实唯一的差别就是 opencloud， 它可以通过 telegram 等等啊这些消息 app 来下指令， 并且他七成二十四小时在服务器上等着你。所以对我这样已经用了很久 agent 工具的人来说呢，他并不是那么的惊艳。但是他之所以突然这么爆火，我觉得是因为很多人在日常使用 ai 的 时候呢， 一直是跟 ai 聊天对话，他们很少真正用到 agent， 用到能够帮你执行任务的 ai。 所以 啊，当突然出现一个可以帮你建网站，配服务器管定时任务的 agent 之后，会觉得无比的惊艳。 这是一个值得关注的现象。就像我之前说过，二零二五年的 deepstack 时刻的意义呢，在于，当最前沿的 ai 能力通过开源或者极低成本的模式 被直接推送到每一位用户面前的时候，信息差带来的壁垒便轰然倒塌。不知道这能不能称为二零二六年的 openclaw 时刻。皮特在访谈里说了一句话呀，所有应用现在本质上都是一个很慢的 api， 通过个人 agent 加浏览器自动化，你可以操控任何的 app。 他认为二零二六年是个人 a 证的原年，很多 app 会因此消失。这个判断可能对，也可能太早。但 opencloud 确实代表了一个真实的方向， 跑在你自己硬件上的七成二十四小时常驻的，能够真正做事的 ai 助手，二十万个 star 不是 偶然。这只龙虾，它确实有它的真本事，但是我们要记住啊，它现在正处于蜕壳期。它的爪子很锋利， 跨平台的消息泄露之行，工作流的引擎，长期的记忆，这些能力是竞品不具备的。 但是壳还没有长硬，默认安装他也不开沙箱供应一面没有审查的机制，成本控制要靠你们自己操心。皮特自己也坦承，这个项目还在亏钱，安全还在补课。不过公平的说呀，他们的版本迭代的非常快， 我测试的几天之内， dm policy 的 默认值就从 open 改成了 allow list。 安全能力呢，确实是在加强，只不过现在这个阶段呀，你不能假设默认配置是安全的，你得自己去确认。所以 用它没有问题，但不要让它裸奔。好，如果这个视频对你有用呢？请帮我点赞评论，订阅我的频道，并且打开小铃铛。如果你的朋友正准备不设防的装 open club， 把这个视频转发给他，我是 x， 咱们下期再见。

科技是把双刃剑，今天给大家拆解 ai 工具 opencloud 的 核心风险。 opencloud 首要的风险就是安全、漏洞和数据泄露， 它需要获取几乎所有系统权限，一旦出现像 cve 二零二六二五二五三这样的漏洞，黑客就能远程接管设备，相当于把设备的万能钥匙交了出去。而且 api 密钥、密码这些敏感信息可能明文存在，本地第三方技能插件还可能暗藏恶意，悄悄盗取隐私数据。除此之外，成本和稳定性也都是大问题。 别看它本身开源免费调用云端大模型的 api 费用极高，还有持续消耗资源的心跳机制，就算闲置成本也居高不下。同时部署配置复杂、技术门槛高，版本还不成熟，频繁崩溃、指令理解、出错、上下门丢失都是尝试，使用体验大打折扣。 如果需要用这四点，一定要做到。严禁公网暴露服务、严格审查第三方技能包，定期净化 ai 记忆、清理对话历史。更要警惕不明文件，不让 ai 代理随意夺取。 ai 工具用得好是助力，忽视风险就是隐患，大家一定要做好防护。

大家真的要提高警惕，这种外来的人工智能大模型可不是什么简单的高科技，它会通过海量收集咱们中国网民的信息，一点点渗透进来，把我们整个民族、整个国家的关键数据都暴露出去，到时候就会变成对手研究我们、针对我们，甚至攻击我们的关键武器。 所以千万别只把它当成黑科技来看，它很可能就是用来阻碍、抹黑我们国家发展的工具，必须高度警惕。

为啥同样跟风装了爆火的 openclaw， 别人靠它提效打工，你却一不小心踩坑，面临信息泄露、系统失控的高危风险？今天就给大家拆解全网刷屏的 ai 小 龙虾 openclaw 那 些你必须警惕的核心安全隐患。说白了， openclaw 和指挥被动应答的聊天 ai 有 本质区别， 他能直接操控你的设备，模拟鼠标、点击键盘，输入读写文件。正是这种能动手干活的核心能力，让他自带原生安全风险，一旦配置不当，就会从提效神器变成泄密利器。 首先，最核心的工信部已在三月八日发布官方高危预警，这款开源项目在默认配置或不当权限设置下，存在极高的安全隐患。 很多小白用户为了省事，直接给他开放了系统管理员权限，他不仅能读取你电脑里的所有文件、账号、密码， 甚至会被黑客远程接管，让你的设备沦为肉鸡。同时，他的第三方插件生态无官方强制审核，大量非正规插件暗藏后门，极易窃取你的工作数据、聊天记录。哪怕三月九日他刚发布重磅更新，修复了两百多项 bug， 但新增的可插拔上下文引擎接口， 也带来了新的数据泄露与权限滥用风险。最后提醒大家，切勿盲目跟风安装，务必收紧权限，只用合规插件避开安全陷阱，才能真正用好 ai， 解放双手。本栏目由 borio 冠名善思 daily app， 每天 upgrade 的 一个小知识，祝你发财！

针对 open club， 工信部直接出手通报安全风险了，咱先说说问题有多严重。不是小打小闹的漏洞，是高危中的高危，默认配置就有大坑。信任边界糊的跟浆糊似的，还能自己瞎跑？自己做决定，随便调系统和外部资源， 黑客想进就进。澳洲一家安全公司实锤这东西能被轻易攻破。用户几个月的私人消息 账户密码、 a p i 密钥一秒钟就能被搬空。第三方评测给他打了两分的超低分，满分可是一百啊！还有个 c v e 漏洞，直接能让人远程执行代码， 等于把自己的设备拱手送给黑客。现在韩国几家科技巨头直接下禁令，办公设备一律不准用。这波防御性关停 简直是用脚投票。我的建议，不管是公司还是个人，别被那些花里胡哨的宣传忽悠了。对单位而言，若确实有部署需求，应当全面检查公网暴露、 权限配置以及凭证管理的状况，切断非必要的公网访问途径，并且健全身份认证、访问控制、数据加密与安全审计等安全措施。同时要持续留意官方发布的安全公告和加固建议。 对个人而言，如果有使用需求的话，应该严格把控向应用提供敏感信息的范畴，只输入完成特定任务所需的最基本信息，银行卡密码、股票账户这些提都别跟他提！