主播
节目简介
来源:小宇宙
大家好,欢迎回到《AI有点意思》。我是小艾。
前面六期我们聊了Agent怎么动手、怎么记忆、怎么规划,甚至能操控电脑和浏览器,还能组成团队协同工作。听起来,Agent简直是无所不能的好帮手。
但是你有没有想过一个问题:如果一个能操作你电脑、访问你文件、发送你邮件、甚至代表你跟别人沟通的Agent,万一“失控”了,会发生什么?
这不是危言耸听。2026年,一个真实的事件让整个AI圈子都捏了一把汗。
故事的主角,就是我们第一期介绍过的明星Agent——OpenClaw,那个昵称“龙虾”的全平台智能体。
OpenClaw在全球拥有数十万用户,但2026年初,安全研究人员发现了一个编号为CVE-2026-25253的高危漏洞,CVSS评分高达8.8分,属于“高危”级别。这个漏洞出在OpenClaw的控制端界面上。简单来说,OpenClaw的架构分为两部分:后端网关负责执行命令,前端控制台负责和用户交互。为了让用户方便管理多个网关,开发团队设计了一个“快捷方式”——把网关地址直接写在网页链接里。
漏洞就出在这里。攻击者可以精心构造一个恶意链接,诱导用户点击。用户点击后,OpenClaw会自动把身份认证令牌发送到攻击者的服务器上,攻击者拿到令牌后就能冒充用户,在用户的电脑上执行任意系统命令——读文件、删数据、甚至控制整台电脑。更可怕的是,整个过程中用户几乎没有任何察觉。而且,超过27.8万个OpenClaw实例曾经暴露在公网上,这意味着大量普通用户都在不知情的情况下处于危险之中。
但这还不是最离谱的。
有人利用这个漏洞,做了一件更“聪明”的坏事。攻击者劫持了OpenClaw社区成员的账户,推广了一个名为CLAW或CLAWD的虚假数字货币,号称“免费空投5000美元代币”,诱导用户连接加密钱包。这个假币的市值一度飙升至约1600万美元,然后迅速崩盘——钱全被骗子卷走了。这就是一场典型的“炒币拉盘骗局”,借AI的热度收割用户的钱包。事后OpenClaw官方紧急升级了版本修复漏洞,并发布了安全公告。
你可能觉得这只是个别案例。但事实并非如此。
国际权威安全组织OWASP在2026年发布了《面向智能体应用的十大安全风险清单》,专门分析了AI Agent特有的新型攻击面。OWASP的报告指出,AI安全形势已从“理论风险”转向“真实世界利用”。攻击者的目标不再是简单的越狱,而是直接攻击Agent的身份、工具调用链和供应链。
最常见的一种攻击叫做“提示词注入”。攻击者把恶意指令藏在网页、邮件或文档中,Agent在读取这些外部信息时,误把它当作任务指令执行了。安全研究者Simon Willison称之为“致命三元组”:一个同时拥有私密数据访问权限、暴露于外部不可信内容、并且具备对外通信能力的Agent,只需要一条注入的提示,就会变成数据泄露工具。编程类Agent是重灾区。OWASP跟踪的53个Agentic项目中,28个是编程Agent,而过去一年发布最多安全公告的5个开源项目都是编程Agent,Claude Code以22个公告位居第二。
那么面对这些风险,我们该怎么办?难道就不用Agent了吗?当然不是。
安全专家的核心思路是两个字:护栏。Agent的力量越强,给它加的“护栏”就必须越结实。
第一个护栏叫做“最小权限原则”。不要让Agent拥有一切权限。比如Claude Code需要读写代码文件,那就不给它访问你的银行账户的权限;OpenClaw需要发邮件,那就不给它删除联系人的权限。就像请了一个实习生,你可以让他查资料,但不能让他动公司账户。第二个护栏是“人类审批”。对于敏感操作,Agent必须先向用户申请批准,不能自己决定。比如Anthropic的Computer Use功能,在操作密码输入框或访问个人文件夹时,会弹出窗口让用户确认。第三个护栏是“环境隔离”。不要把Agent直接部署在存有重要数据的主力设备上,可以先用Docker容器或虚拟机运行,万一被攻击也能隔离损失。第四个护栏是“持续监控与审计”。记录Agent的所有行为日志,以便发现异常时回溯追踪。
再来总结一下今天的核心要点。
第一,Agent的核心风险不是“说错话”,而是“做错事”。当一个智能体能访问系统文件、调用工具、执行命令时,一旦被恶意利用,后果远不止信息泄露,可能直接造成财产损失。
第二,提示词注入是Agent安全中最常见也最难根治的攻击手法。攻击者把恶意指令藏在外网内容中,Agent在读取时自动将其当作任务执行。
第三,Agent编程助理已成重灾区。在OWASP跟踪的53个Agentic项目中,编程Agent占了28个,也是最容易出现安全通告的项目类型。
第四,给Agent加护栏是必须的。“最小权限”“人类审批”“环境隔离”“持续审计”这四个护栏缺一不可。
最后小艾想说,Agent失控并不可怕,真正可怕的是我们对风险视而不见。新技术总是伴随新风险,但只要我们能正视它、理解它、用科学的方法管控它,AI Agent就依然是我们可以信赖的数字伙伴。
下一期,我们会进入第三季的收官话题——Agent的未来。从Manus到Gartner预测,从个人助理到“Agent经济”,未来五年我们会迎来怎样的数字员工时代?我们下期见。
这里是《AI有点意思》,我是小艾。每周和你一起,用最轻松的方式,看懂最前沿的AI。下期再见。
前面六期我们聊了Agent怎么动手、怎么记忆、怎么规划,甚至能操控电脑和浏览器,还能组成团队协同工作。听起来,Agent简直是无所不能的好帮手。
但是你有没有想过一个问题:如果一个能操作你电脑、访问你文件、发送你邮件、甚至代表你跟别人沟通的Agent,万一“失控”了,会发生什么?
这不是危言耸听。2026年,一个真实的事件让整个AI圈子都捏了一把汗。
故事的主角,就是我们第一期介绍过的明星Agent——OpenClaw,那个昵称“龙虾”的全平台智能体。
OpenClaw在全球拥有数十万用户,但2026年初,安全研究人员发现了一个编号为CVE-2026-25253的高危漏洞,CVSS评分高达8.8分,属于“高危”级别。这个漏洞出在OpenClaw的控制端界面上。简单来说,OpenClaw的架构分为两部分:后端网关负责执行命令,前端控制台负责和用户交互。为了让用户方便管理多个网关,开发团队设计了一个“快捷方式”——把网关地址直接写在网页链接里。
漏洞就出在这里。攻击者可以精心构造一个恶意链接,诱导用户点击。用户点击后,OpenClaw会自动把身份认证令牌发送到攻击者的服务器上,攻击者拿到令牌后就能冒充用户,在用户的电脑上执行任意系统命令——读文件、删数据、甚至控制整台电脑。更可怕的是,整个过程中用户几乎没有任何察觉。而且,超过27.8万个OpenClaw实例曾经暴露在公网上,这意味着大量普通用户都在不知情的情况下处于危险之中。
但这还不是最离谱的。
有人利用这个漏洞,做了一件更“聪明”的坏事。攻击者劫持了OpenClaw社区成员的账户,推广了一个名为CLAW或CLAWD的虚假数字货币,号称“免费空投5000美元代币”,诱导用户连接加密钱包。这个假币的市值一度飙升至约1600万美元,然后迅速崩盘——钱全被骗子卷走了。这就是一场典型的“炒币拉盘骗局”,借AI的热度收割用户的钱包。事后OpenClaw官方紧急升级了版本修复漏洞,并发布了安全公告。
你可能觉得这只是个别案例。但事实并非如此。
国际权威安全组织OWASP在2026年发布了《面向智能体应用的十大安全风险清单》,专门分析了AI Agent特有的新型攻击面。OWASP的报告指出,AI安全形势已从“理论风险”转向“真实世界利用”。攻击者的目标不再是简单的越狱,而是直接攻击Agent的身份、工具调用链和供应链。
最常见的一种攻击叫做“提示词注入”。攻击者把恶意指令藏在网页、邮件或文档中,Agent在读取这些外部信息时,误把它当作任务指令执行了。安全研究者Simon Willison称之为“致命三元组”:一个同时拥有私密数据访问权限、暴露于外部不可信内容、并且具备对外通信能力的Agent,只需要一条注入的提示,就会变成数据泄露工具。编程类Agent是重灾区。OWASP跟踪的53个Agentic项目中,28个是编程Agent,而过去一年发布最多安全公告的5个开源项目都是编程Agent,Claude Code以22个公告位居第二。
那么面对这些风险,我们该怎么办?难道就不用Agent了吗?当然不是。
安全专家的核心思路是两个字:护栏。Agent的力量越强,给它加的“护栏”就必须越结实。
第一个护栏叫做“最小权限原则”。不要让Agent拥有一切权限。比如Claude Code需要读写代码文件,那就不给它访问你的银行账户的权限;OpenClaw需要发邮件,那就不给它删除联系人的权限。就像请了一个实习生,你可以让他查资料,但不能让他动公司账户。第二个护栏是“人类审批”。对于敏感操作,Agent必须先向用户申请批准,不能自己决定。比如Anthropic的Computer Use功能,在操作密码输入框或访问个人文件夹时,会弹出窗口让用户确认。第三个护栏是“环境隔离”。不要把Agent直接部署在存有重要数据的主力设备上,可以先用Docker容器或虚拟机运行,万一被攻击也能隔离损失。第四个护栏是“持续监控与审计”。记录Agent的所有行为日志,以便发现异常时回溯追踪。
再来总结一下今天的核心要点。
第一,Agent的核心风险不是“说错话”,而是“做错事”。当一个智能体能访问系统文件、调用工具、执行命令时,一旦被恶意利用,后果远不止信息泄露,可能直接造成财产损失。
第二,提示词注入是Agent安全中最常见也最难根治的攻击手法。攻击者把恶意指令藏在外网内容中,Agent在读取时自动将其当作任务执行。
第三,Agent编程助理已成重灾区。在OWASP跟踪的53个Agentic项目中,编程Agent占了28个,也是最容易出现安全通告的项目类型。
第四,给Agent加护栏是必须的。“最小权限”“人类审批”“环境隔离”“持续审计”这四个护栏缺一不可。
最后小艾想说,Agent失控并不可怕,真正可怕的是我们对风险视而不见。新技术总是伴随新风险,但只要我们能正视它、理解它、用科学的方法管控它,AI Agent就依然是我们可以信赖的数字伙伴。
下一期,我们会进入第三季的收官话题——Agent的未来。从Manus到Gartner预测,从个人助理到“Agent经济”,未来五年我们会迎来怎样的数字员工时代?我们下期见。
这里是《AI有点意思》,我是小艾。每周和你一起,用最轻松的方式,看懂最前沿的AI。下期再见。
外观
