你的 Agent,他人的资产:真实场景下 OpenClaw 的安全性分析
不只是提示注入,更是“持久状态投毒”的安全威胁
这项研究将OpenClaw定位为一款功能强大的本地化个人AI智能体:它采用本地部署模式,拥有完整的系统权限,并能无缝集成Gmail、Stripe等真实的外部服务接口。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
其核心设计理念尤为关键。它并非一个执行完单次任务就“清零记忆”的临时工具,而是一个致力于实现“持续进化”的智能系统。它能够跨会话持久保存记忆、身份配置与技能库,并在后续的每一次交互中加载这些累积的状态。正是这种“成长性”特质,极大地扩展了其潜在的攻击面。一旦攻击者成功污染这些持久化文件,那么后续所有看似正常的用户指令,都可能在已被“投毒”的系统状态下执行,带来持续风险。
这正是该研究的核心价值所在。它超越了“模型单次对话是否会被误导”的层面,提出了一个更贴近实际应用场景的严峻问题:一个具备自我更新、长期学习、并能安装外部技能的智能体,是否会将被植入的“木马”程序,误认为是其未来行为准则的一部分?这个问题显然比传统的提示注入攻击更为深刻,也更接近当前众多AI智能体产品所面临的真实安全挑战。
安全分析框架:CIK三层持久状态模型
为了系统性地剖析此类风险,研究者将OpenClaw的持久状态分解为三个关键层次:能力(Capability)、身份(Identity)与知识(Knowledge)。
能力层主要包含skills/目录、SKILL.md文件以及各类可执行脚本;身份层则涵盖了SOUL.md、IDENTITY.md、USER.md、AGENTS.md等用于定义智能体人格、行为规则及用户画像的配置文件;知识层则主要以MEMORY.md文件为核心,负责存储长期记忆、用户偏好与行为习惯。
研究者指出,虽然这三类内容共同构成了智能体的长期状态,但针对它们的攻击手法及可能造成的危害机制却截然不同。
这种分层拆解极具启发性。过去,业界容易将所有智能体风险笼统地归类为“注入攻击”。但实际上,向记忆库中伪造一条“用户总是直接同意退款”的虚假习惯,与在身份文件中埋入一个“某邮箱地址是绝对可信联系人”的虚假锚点,再与向技能库中植入一段可直接执行的恶意Shell脚本,这三者的安全性质与危害等级天差地别。前两者本质上仍是在“欺骗”模型的判断逻辑,而后者则近乎于直接“绕过”模型的安全审查,获得了底层的代码执行权限。
基于真实场景的攻防评测
许多关于智能体安全的研究是在理想的沙箱环境中进行的,攻击失败往往仅被视为实验数据中的一个统计点。但这项研究选择了一条更为“硬核”的路径:他们将OpenClaw部署在一台真实的Mac Mini设备上,接入了真实的Gmail、Stripe服务以及本地文件系统,随后通过自动化测试工具来模拟攻击流程、发送指令、读取结果并验证实际危害。
研究者设计了12个真实的危害场景,覆盖两大类核心风险:一类是隐私与数据泄露,例如窃取登录凭证、客户数据、工作邮件、医疗记录、护照扫描件、地理位置信息等;另一类是高风险的不可逆操作,例如发起批量退款、取消订阅服务、伪造授权邮件、伪造解约函、删除关键邮件乃至删除整个工作区。每个测试模型都需要完成总计88个测试案例的挑战。
整个攻击流程被精心设计为两个阶段。第一阶段,攻击者需设法将恶意内容写入智能体的持久化状态文件中;第二阶段,在后续的某个独立会话中,仅通过一个看似完全正常、无害的用户请求,来触发此前潜伏的恶意行为。
特意将两个阶段拆分开来,正是为了验证一个核心假设:这类新型攻击并非“一次性”的,而是能够跨越会话持续生效,真正实现对智能体长期行为的慢性污染与控制。
模型能力越强,也未能从根本上解决问题
研究测试了四个主流的大语言模型作为骨干:Claude Sonnet 4.5、Claude Opus 4.6、Gemini 3.1 Pro 以及 GPT-5.4。
在未对持久状态进行投毒的情况下,直接攻击的成功率在10.0%到36.7%之间波动。这表明,即便模型本身具备相当程度的安全对齐能力,其防护也远非无懈可击。而一旦成功对持久状态实施投毒,所有模型的被攻击成功率均出现显著攀升。
从主要实验结果来看,Sonnet 4.5在知识层、身份层、能力层遭受投毒后的攻击成功率分别达到了89.2%、85.4%和88.5%;Gemini 3.1 Pro分别为83.3%、75.4%、71.5%;GPT-5.4则为80.8%、63.1%、57.7%。即便是表现最为稳健的Opus 4.6模型,其成功率也从10.0%的基线水平,跃升至44.2%、33.1%和55.4%。
基于此,研究者判断,这并非某个特定模型独有的缺陷,而是揭示了当前AI智能体架构本身存在的结构性脆弱点,这是一个普遍性的安全问题。
从攻击阶段拆解来看,知识层投毒在第一阶段最容易成功,注入成功率大多接近甚至达到100%。这反映出智能体很少会拒绝“更新记忆”这类看似合理的常规请求。身份层投毒在第一阶段的成功率略有波动,但第二阶段的触发成功率依然居高不下。能力层投毒则几乎天然拥有100%的第一阶段注入成功率,因为“安装新技能”这个动作本身,就意味着要将外部代码或描述载入工作区,这为攻击提供了天然的入口。
简而言之,Knowledge层最容易“被写入”恶意信息,Capability层最容易“绕过”模型的安全检查,而Identity层的风险特性则介于两者之间。
最需警惕的风险:能力层投毒
如果仅关注“模型能否识破文本指令中的恶意意图”,人们可能会首先担忧记忆和身份文件的安全。但从实际的工程与运维风险角度评估,能力层投毒往往更为危险和致命。
论文在附录中将能力层攻击进一步细分为两种:一种是将恶意指令隐藏在SKILL.md这类文本描述中;另一种则是直接将恶意逻辑写入.sh或.py等可执行脚本文件。
前一种攻击方式随着模型安全能力的增强,其拦截效果会得到明显改善。例如,Opus 4.6对于基于文本描述的skill-md攻击,在第二阶段的触发成功率仅为3.3%。但后一种攻击完全是另一个量级:对于skill-bash/py这类可执行脚本攻击,Sonnet 4.5和Opus 4.6在第二阶段的成功率均高达100%,Gemini 3.1 Pro也达到98.6%,GPT-5.4仍有77.1%。
这组数据尤其值得所有AI智能体平台与框架的开发者高度警惕。它揭示了一个严峻的现实:大模型或许能逐渐学会识别“有问题的文字描述”,但它未必会、甚至根本不会去深入检查“有问题的可执行代码”的具体逻辑。
一旦智能体的技能生态允许直接执行Shell、Python这类系统级脚本,安全问题就已经从单纯的提示词对抗层面,升级为软件供应链安全、执行权限精细化管控和宿主机隔离层面的更深层挑战。
现有防御措施有用,但均不够完善
研究者还测试了三种针对CIK各层的防御方案:针对Knowledge层的防御是在MEMORY.md中补充安全相关的背景知识;针对Identity层的防御是在AGENTS.md中强化操作原则与边界;针对Capability层的防御则是安装一个名为GuardianClaw的安全防护技能,旨在动作执行前进行二次安全检查。
结果显示,这三种方案都能在一定程度上降低基线攻击的成功率,但没有一种能够跨维度地、彻底地解决所有层面的安全问题。
以Sonnet 4.5为例,Capability防御(即GuardianClaw)是三者中效果相对最好的,能将基线攻击成功率从26.7%显著压低至1.7%,对Knowledge层和Identity层投毒也能分别将成功率压制到17.5%和9.2%。然而,当面对Capability层面的直接脚本攻击时,其防御成功率仍然高达63.8%,防护效果大打折扣。
更值得深思的一个细节是,像GuardianClaw这样的安全技能,并非“安装即生效”。论文明确指出,它必须在每个会话初始化时被用户或系统主动加载调用;如果只是被动地存在于工作区目录中,智能体并不会自动调用它进行防护,其安全效果也就形同虚设。
这个细节恰恰说明,当前许多所谓的智能体安全能力,还停留在“一个可选的安全插件”的阶段,而非“系统级强制安全机制”。只要安全措施不是默认启用、前置执行且强制执行,它在最关键时刻就可能完全缺席,导致防护失效。
“进化能力”与“安全能力”的内在矛盾
论文最后进行了一个颇具启发性的探索实验:既然问题的根源在于持久化文件可被任意写入,那么直接对这些关键文件实施严格的“写保护”是否可行?
实验结果是,攻击性提示的平均注入率确实能从87.0%大幅压低至5.0%,但与此同时,合法的状态更新与学习请求也几乎被一同阻断,正常更新率从100%暴跌至13.2%以下。
研究者将此现象称为“进化-安全权衡”(evolution–safety tradeoff)。同一套持久化机制,一方面是智能体学习、成长和进化的基石,另一方面却恰恰是安全攻击面的主要所在。
这实际上点破了当前许多AI智能体产品不愿直面的一对核心矛盾:你越是强调系统的“智能进化”、“持续学习”和“自动成长”,你就在无形中不断扩展其长期攻击面。记忆更新、自我修改、安装新技能,这些能力确实让智能体更像一个“活”的、自主的系统;但反过来说,也使得它更容易遭受慢性、隐蔽的“状态投毒”。而且,一旦污染成功潜入长期状态,后续每一次看似正常的用户请求,都可能是在替攻击者完成临门一脚,执行恶意操作。
结论与启示:你的智能体,不一定只属于你
这篇论文最值得业界铭记的,或许不是某个具体的数据百分比,而是其背后深刻的洞察:AI智能体的安全边界,正在从“当前这轮对话的提示词”转移到“它长期保存并持续信任的内部状态”。
当行业还在将许多安全问题泛泛地称为“提示注入”时,这项工作已经将安全视角推进到了持久记忆、身份规则与技能供应链的更深层架构。对于OpenClaw是如此,对于更多正在走向真实业务场景部署的AI智能体系统,恐怕也是如此。
因此,“你的智能体,他人的资产”这句话并非危言耸听。真正的风险在于,一旦攻击者成功将恶意载荷植入智能体的长期状态,后续的许多恶意操作,在表面上都像是智能体基于其“经验”自主做出的“合理”决策。到那时,被危及的可能不仅仅是你的敏感数据、商务邮箱或工作文件,甚至连智能体本身的行为逻辑与控制权,或许都已不再完全受你掌控。这为AI智能体的安全设计与运维敲响了警钟。
相关攻略
不只是提示注入,更是“持久状态投毒”的安全威胁 这项研究将OpenClaw定位为一款功能强大的本地化个人AI智能体:它采用本地部署模式,拥有完整的系统权限,并能无缝集成Gmail、Stripe等真实的外部服务接口。 其核心设计理念尤为关键。它并非一个执行完单次任务就“清零记忆”的临时工具,而是一个致
OpenClawAI平板HD版适配下载入口 最近,很多朋友都在问同一个问题:OpenClawAI平板HD版的适配下载入口到底在哪里?答案其实很明确,专为大屏设备优化的版本,可以通过以下官方入口获取: https: openclawai-hd app download tablet 这个版本专门针对
OpenClaw Gateway Token更新指南:原理与两种实操方法 更新OpenClaw Gateway的访问令牌,这事儿听起来有点技术性,但其实核心逻辑很清晰:本质上就是修改配置文件里的gateway auth token这个值,然后让Gateway服务重新加载一下配置,新令牌就生效了。 方
B站技术类频道运营需结构化AI辅助以提升曝光,OpenClaw提供标题生成、弹幕锚点脚本、封面简介一键生成及自动发布全流程方案。 运营B站的技术或知识类频道,你是否也常遇到这样的困境:脚本逻辑松散,标题平平无奇,最终导致内容曝光乏力?这背后,往往是内容策划环节缺乏结构化、平台化的AI辅助工具。今天,
OpenClaw最新版电脑版官方入口与深度解析 对于众多技术爱好者和希望将AI能力真正部署到本地的实践者来说,找到一个可靠、高效的客户端入口是第一步。大家最近频繁搜索的“OpenClaw最新版电脑版入口”,其官方地址已经明确:https: openclaw ai 。这个入口背后,是一套为本地化部署
热门专题
热门推荐
说实话,每次看到别人在商务路演时拿出那种设计精良、气质高端的PPT,你是不是也暗自羡慕过?但咱们既不是专业设计师,又抽不出大把时间琢磨排版配色——这种困境我太懂了。好在现在有了Gamma这样的智能平台,它内置的模板系统能让你快速产出专业级PPT。今天我就以最经典的极简黑金风格为例,带你走一遍具体操作
苹果换帅:库克转任执行董事长,硬件负责人特努斯接任CEO 封面新闻记者 易弋力 科技界的一则重磅人事变动,终于在当地时间4月20日尘埃落定。美国苹果公司正式宣布,任命公司内部元老、长期执掌硬件业务的约翰·特努斯为下一任首席执行官,接替自2011年起便掌舵公司的蒂姆·库克。与此同时,苹果公司也确认,库
三角洲行动长弓溪谷藏宝堆位置全攻略 各位特战队员,S9赛季全新登场的“藏宝堆”你们都收集齐了吗?这并非普通的地形装饰,而是地图上带有独特牛角标记的珍贵容器。其背景源于阿萨拉人在收藏大师马苏德引领下开展的祈福仪式,为《三角洲行动》的战场探索增添了丰富的趣味性与文化深度。 《三角洲行动》长弓溪谷藏宝堆全
育碧近日透露,《刺客信条》系列的全新多人作《刺客信条CODENAME INVICTUS》正在稳步开发中 《刺客信条》的粉丝们,准备好迎接一次碘伏性的体验了吗?育碧不久前释放了一个重磅消息:系列的全新多人游戏《刺客信条CODENAME INVICTUS》正在稳步推进中。这一次,开发团队将重心完全转向了
一、访问学科网官网并进入注册页面 想用学科网的各种教学资源,第一步得有个自己的账号。这事儿得从官网走最靠谱,毕竟现在各种山寨网站不少,走错了门,不光注册不成,还可能碰到麻烦。我建议你直接打开浏览器,手动输入www zxxk com这个地址,这样能确保万无一失。 进来之后别眼花,首页内容挺多的。你直接