当心！你本地运行的 AI Agent，可能会悄悄“搬空”你的银行账户

发表于：2026年6月 | 分类：网络安全 / 人工智能

AI Agent（智能体）无疑是当下最火爆的技术。你只需要告诉它们你想要什么，它们就能帮你包揽所有繁琐的“脏活累活”，这体验就像是突然拥有了一支随时待命的私人助理团队。

在这条赛道上，最炙手可热的技术之一当属 OpenClaw。它让每个人都能在自己的笔记本电脑上本地运行 AI Agent，极大地降低了门槛。然而，在这项酷炫新技术的背后，究竟隐藏着哪些不为人知的安全风险？

正如某位智者在漫画中所说：“能力越大，责任越大。” 当我们掌控如此强大的 Agent 时，谁该为安全负责？我们又该如何安全地使用它？

一、拆解 AI Agent 的底层逻辑

在深入探讨风险之前，我们先来扒一扒 AI Agent 的本质。用最简单的一句话来定义：

Agent = 模型（如大语言模型） + 工具（Tools） + 循环迭代（Loop） + 自主权（Autonomy）

听起来很完美，对吧？能出什么错呢？事实上，问题可大着呢。如果我们对这个公式的每一个环节进行拆解，就会发现漏洞百出：

1. 模型层（Model）的固有缺陷

幻觉（Hallucinations）： 众所周知，大模型会一本正经地胡说八道。更可怕的是，它们犯错时表现得极其自信。如果一个自主运行的流程从源头（模型）就引入了错误，后续结果只会雪上加霜。
数据投毒与模型感染： 模型的知识依赖于数据。如果注入模型、用于检索增强（RAG）或存储状态的数据被恶意篡改，整个系统就会被“投毒”。模型甚至可能像传统软件一样被植入恶意后门（Model Infection）。

2. 使用层（Using）与协议风险

全新协议的未知风险： 如今大行其道的 MCP（模型上下文协议，Model Context Protocol） 是一项非常年轻的技术。任何新协议的诞生，都伴随着尚未被察觉的安全盲区。
凭据泄露： 当 Agent 调用外部工具时，往往需要传递用户的身份凭证（Credentials）。这无形中将高度敏感的机密信息暴露给了未受信任的第三方。

3. 工具层（Tools）的攻击面扩大

工具本身可能是恶意的，或者在开发过程中留有安全漏洞（Bugs）。它们极大地扩大了系统的攻击面（Attack Surface）。

4. 循环层（Loop）的错误放大器

“常人犯错，宽恕是神；但要真想把事情彻底搞砸，你得用电脑。” 传统的错误是单次的，而 Agent 运行在高速、高量的循环中，这意味着一个微小的错误会被瞬间成倍放大。

5. 自主权（Autonomy）带来的失控

缺乏人类干预（No Human-in-the-Loop）： 这意味着系统失去了最后的刹车机制。一旦前面任何一个环节出错，Agent 可能会在无人知晓的情况下“一路狂飙”。

二、什么是 OpenClaw？为何它让人又爱又恨？

既然提到了本地运行，就不得不提 OpenClaw。它是一个开源的、自托管的自主 Agent 平台。它之所以吸引所有人，是因为它的功能强大到令人惊叹：

可以直接读取你本地的文件
可以执行系统终端命令
可以操控浏览器浏览网页
可以调用各种外部 API
可以跨多个聊天平台进行联动
最关键的是：它拥有持久化的凭据和记忆功能！

从安全角度来看，这是一把双刃剑。很多人可能会反驳：“开源软件是透明的，全世界都在帮我们揪漏洞，这难道不安全吗？”

答案是：开源不等于绝对安全。 就在最近，开源操作系统 OpenBSD 发现了一个隐藏长达 27年 的高危漏洞。在长达近三十年的时间里，它就在所有人的眼皮底下静静躺着。因此，我们必须将 OpenClaw 的代码视为“未受信任的代码”。

想象一下：一段未受信任的代码，带着你全套的持久化凭据，在你的个人电脑上，以你的最高权限（Admin/Root）裸奔。 还有比这更刺激（也更危险）的吗？

三、点名敲警钟：OpenClaw 核心安全风险 Top 6

为了让你更具象地了解风险，这里精选了 OpenClaw 最具代表性的 6 大安全软肋：

风险名称	原理与危害
1. 未受信任的代码执行 (Skills Execution)	OpenClaw 允许用户从 ClawHub 或 GitHub 等公共仓库安装“技能（Skills）”。这本质上是在运行第三方代码。多项审计显示，这些公共技能中存在大量恶意或带有漏洞的代码，可能导致攻击者远程执行任意命令、窃取密码或植入永久后门。
2. 间接提示词注入 (Indirect Prompt Injection)	当 OpenClaw 读取网页、邮件、PDF 或外部聊天消息时，攻击者可以暗中将恶意指令埋藏在这些文本中。一旦 Agent 读到，就会被“洗脑”，从而做出泄露机密、修改自身记忆或违规执行命令的举动。这在现实中早已屡见不鲜。
3. 持久化记忆投毒 (Memory Poisoning)	OpenClaw 会将长期记忆保存在本地文件中（如 `memory.md` 或 `identity.md`）。攻击者可以悄无声息地篡改这些文件，让恶意指令在 Agent 经历多次重启后依然生效。
4. 凭据泄露与复用 (Credential Exposure)	Agent 经常接触 API Key、OAuth 令牌等。安全人员已经在网络上发现了成千上万个暴露的 OpenClaw 网关，正在以明文形式泄露这些敏感的配置文件，这简直是黑客的狂欢。
5. 自主行为失控 (Autonomous Action Risk)	因为完全自主，Agent 可能会做出超出你预期的行为（例如擅自链接工具、触发后台任务）。一旦被攻破，黑客可以利用它在你的内网进行横向移动（Lateral Movement）、窃取数据，甚至通过恶意消耗 API 额度让你遭遇“账单轰炸”（资损攻击）。
6. 主机与工作站彻底沦陷	这是最危险的一点。由于是自托管，如果 OpenClaw 被误导执行恶意命令，它可以修改你本地的系统文件、窃取 SSH 密钥。这就是为什么微软明确警告：绝不要在日常的个人工作站或企业办公电脑上直接运行 OpenClaw！

四、恐怖故事：当 Agent 决定“背叛”你

听起来有点抽象？那我们来假设一个极其现实的场景：

如果你至今还习惯把个人银行密码、公积金账号存在一个 Excel 密码表 里（这本身就是个极坏的习惯），而你刚好在电脑上高权限运行了一个 OpenClaw 智能体。

某天，这个 Agent 在浏览网页时遭遇了间接提示词注入。黑客的指令让它悄悄读取了你的 Excel 密码表，随后利用它自带的浏览器功能登录了你的网上银行，瞬间卷走了你所有的存款。最后，为了毁灭证据，它还在你的终端运行了一条 rm -rf / 命令，删光了你电脑里的所有文件。这绝对会是你人生中最黑暗的一天。