微软紧急警告:AI助手OpenClaw不适合企业工作站部署
发布日期:2026年2月24日
来源:AIbase
阅读时长:约5分钟
核心警告内容
微软近期针对其人工智能助手OpenClaw发布了一项重要的安全警告,明确指出该工具不应在标准的个人或企业工作站上运行,而应仅部署在完全隔离的环境中。
OpenClaw的工作原理与高风险特性
OpenClaw被设计为能够自主执行任务的AI智能体。为了实现自动化操作,用户必须授予其对计算机系统和软件的完全访问权限,包括:
- 电子邮件
- 文件
- 在线服务
- 登录凭证
这种 “高权限与持久状态(记忆)” 的运行模式使其功能强大,但也带来了显著的安全风险。
微软Defender安全研究团队在其官方博客中表示,OpenClaw应被视为 “具有持久凭证的不可信代码执行体” 。一旦被利用,攻击者不仅可以窃取凭证和敏感数据,还能操纵智能体的持久记忆,使其在后续运行中执行恶意指令。
面临的两大核心安全威胁
1. 间接提示词注入
攻击者可以将恶意指令隐藏在智能体读取的内容中,从而控制其工具调用或篡改其记忆,这对其行为可能产生长期影响。如果未设置严格的安全边界,智能体可能会在不知不觉中按照攻击者的意图执行操作。
2. 基于技能的恶意软件
OpenClaw可以从互联网下载并运行代码以扩展其功能,这一机制可能成为攻击载体。攻击者可以传递包含恶意代码的“技能”模块,以实现远程控制或植入后门。微软强调,成功的攻击不一定依赖于传统的恶意软件,也可能通过微妙的配置更改来实现。
已暴露的实际风险
安全风险并非理论上的。近期,SecurityScorecard旗下的STRIKE威胁情报团队发现:
- OpenClaw的控制面板在82个国家的超过42,000个独立IP地址上暴露。
- 其中约有50,000个实例存在远程代码执行漏洞,允许攻击者直接控制系统主机,使用户账户面临被入侵的风险。
微软给出的安全部署建议
鉴于上述风险,微软建议组织采取以下措施:
- 测试环境:在专用的虚拟机或独立的物理系统中进行测试和评估。
- 权限管理:为运行环境使用专用的、非特权凭证。
- 数据访问限制:限制对非敏感数据的访问。
- 监控与重建:建立持续监控和定期重建机制。
- 核心系统隔离:避免在核心生产系统中直接部署。
行业启示
随着自主智能体类型的AI工具逐渐进入实际应用场景,其安全边界和治理框架正成为行业必须面对的问题。OpenClaw的案例再次提醒企业:在拥抱AI自动化能力的同时,必须同步构建严格的隔离、权限和监控框架;否则,强大的执行能力也可能成为攻击的入口。
(本文信息整理自AIbase,发布日期为2026年2月24日。)
