转自 | 量子位

有多少龙虾在互联网上裸奔？

AI 智能体带着你的密码和 API 密钥暴露给全网。

Transformer 作者 Illia Polosukhin 看不下去了。出手从零重构了安全版龙虾：IronClaw。

IronClaw 目前已在 GitHub 上开源，提供 macOS、Linux和 Windows 的安装包，支持本地部署，也支持通过云端托管。项目仍处于快速迭代阶段，v0.15.0 版本的二进制文件已可下载。

Polosukhin（以下简称菠萝哥）还在 Reddit 论坛开贴回应一切，关注度颇高。

01 OpenClaw 火了，但也"着火"了

菠萝哥本人也是 OpenClaw 的早期使用者，并称这是他等了 20 年的技术。

它已经改变了我与计算交互的方式。

然而 OpenClaw 的安全状况堪称灾难，一键式远程代码执行、提示注入攻击、恶意技能窃取密码，这些漏洞在 OpenClaw 的生态系统中被逐一曝光。

超过 25000 个公开实例在没有充分安全控制的情况下暴露在互联网上，被安全专家直接称为「安全垃圾火灾（security dumpster fire）」。

问题的根源在于架构本身。

当用户将自己的邮箱 Bearer Token 交给 OpenClaw 时，会被直接送入 LLM 提供商的服务器。

菠萝哥在 Reddit 上指出这意味着什么：

你所有的信息，甚至包括你没有明确授权的数据，都可能被该公司的任何员工访问到。这同样适用于你雇主的数据。不是说这些公司有恶意，但现实就是用户没有真正的隐私。

他表示，再多的便利也不值得拿自己和家人的安全与隐私去冒险。

02 用Rust 从零重建一切

IronClaw 是用 Rust 语言对 OpenClaw 的完全重写。

Rust 的内存安全特性能从根本上消除缓冲区溢出等传统漏洞，这对于需要处理私钥和用户凭证的系统至关重要。

在安全架构上，IronClaw 建立了四层纵深防御。

第一层是 Rust 本身提供的内存安全保证。

第二层是 WASM 沙箱隔离，所有第三方工具和 AI 生成的代码都在独立的 WebAssembly 容器中运行，即使某个工具是恶意的，其破坏范围也被严格限制在沙箱之内。

第三层是加密凭证保险库，所有 API 密钥和密码都使用 AES-256-GCM 加密存储，每一条凭证都绑定了策略规则，规定它只能用于特定域名。

第四层是可信执行环境（TEE），利用硬件级别的隔离保护数据，即使是云服务提供商也无法访问用户的敏感信息。

这套设计中最关键的一点是：大模型本身永远接触不到原始凭证。

只有当智能体需要与外部服务通信时，凭证才会在网络边界被注入。

菠萝哥举了一个例子，即使大模型被提示注入攻击，试图将用户的 Google OAuth 令牌发送给攻击者，凭证存储层也会直接拒绝这个请求，记录日志，并向用户发出警报。

然而开发者社区还是不放心，毕竟 OpenClaw 有2000 多个公开实例被攻击，以及存在大量恶意技能，IronClaw 一旦走红会不会重蹈覆辙？

菠萝哥的回应是，IronClaw 的架构设计已经从根本上堵住了 OpenClaw 的核心漏洞。凭证始终加密存储且从不接触 LLM，第三方技能无法在主机上执行脚本，只能在容器内部运行。

即便通过 CLI 访问，也需要用户的系统钥匙串来解密，拿到的加密密钥本身没有意义。

他同时表示，随着核心版本趋于稳定，团队计划进行红队测试和专业安全审查。

关于提示注入这个业界公认的难题，菠萝哥给出了更详细的思路。

当前 IronClaw 使用启发式规则进行模式检测，未来目标是部署一个可持续更新的小型语言分类器来识别注入模式。

但他也承认，提示注入不仅可能窃取凭证，还可能直接篡改用户的代码库或通过通讯工具发送恶意消息。

应对这类攻击需要一套更智能的策略系统，能够在不查看输入内容的情况下审查智能体的行为意图，"还需要更多工作，欢迎社区贡献"。

有人问到本地部署和云端部署的取舍。

菠萝哥认为纯本地方案存在明显局限，设备关机时智能体就停止工作，移动端的能耗难以承受，复杂的长时间任务也无法运行。

他认为机密云（confidential cloud）是目前的最优折中方案，既能提供接近本地设备的隐私保障，又能解决「永远在线」的问题。

他还提到一个细节：用户可以设置策略，例如在跨境旅行时自动添加额外的安全屏障，防止未经授权的访问。

03 一个更大的野心

菠萝哥并非普通的开源开发者。

2017 年，他作为八位共同作者之一发表了「Attention Is All You Need」，其中提出的 Transformer 架构奠定了当今所有大语言模型的基础。

虽然在署名中他排最后，但论文中有一条脚注写着「Equal contribution. Listing order is random.」排名纯属随机。

但同年他从谷歌离职，创立 NEAR Protocol，致力于将 AI 与区块链技术融合。

IronClaw 背后是 NEAR Protocol 一个更大的战略构想：用户自有 AI（User-Owned AI）。

在这个愿景中，用户完全掌控自己的数据和资产，AI 智能体在可信环境中代替用户执行任务。

NEAR 已经为此搭建了 AI 云平台和去中心化 GPU 市场等基础设施，IronClaw 是这套体系的运行时层。

菠萝哥甚至开发了一个智能体互相雇佣的市场。

在 NEAR的 market.near.ai 上，用户可以将自己专业化的智能体注册上线，随着智能体积累声誉，它将获得更多高价值的任务。

当被问到普通人未来五年如何适应 AI 时代时，菠萝哥的建议是尽快采用 AI 智能体的工作方式，学会将完整的工作流程交给它自动化处理。

他的这种判断并非近期才突然产生。

早在 2017 年创立 NEAR AI 时，菠萝哥就在告诉所有人"未来你只需要和计算机对话，不再需要写代码"。

当时人们觉得他们疯了，是在说胡话。

九年过去了，这件事正在变成现实。

"AI 智能体是人类与线上一切交互的终极界面，"Polosukhin 写道，"但让我们把它做得安全。"

---

GitHub 地址：

https://github.com/nearai/ironclaw

参考链接：

[1] https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/