Lesswrong
OpenClaw is an empowered, initiative-taking AI agent designed to automate your life by accessing your accounts and computer, but it currently poses significant security risks due to its full shell access and vulnerability to prompt injection.
AI 生成摘要
OpenClaw 是一個具備主動權的強大 AI 代理人,旨在透過存取您的帳戶和電腦來簡化生活,但由於它擁有完整的系統權限且容易受指令注入攻擊,目前仍存在巨大的安全風險。
我們首先介紹了 Moltbook。現在我們可以回過頭來介紹 OpenClaw。
你是否想要一個具備通用能力、會主動採取行動的 AI 代理(Agent),讓它能夠存取你的各種帳戶,並代表你進行溝通與辦事?
這取決於它的運作效果、安全性、可靠性以及成本。
目前它還沒準備好進入主流市場,特別是在安全性方面。但這種情況可能不會持續太久。
如果你能小心地不讓它存取任何你不希望遺失的東西,那麼它絕對已經準備好讓你動手嘗試、學習並從中獲得樂趣。
許多人正將其提升一兩個檔次。
超越 Claude Code 的那個檔次最初被稱為 Clawdbot。你交出一台電腦和各種帳戶的存取權,讓 AI 可以某種程度上「打理你的生活」並為你簡化一切。
再高一階的或許是 Moltbook,我計畫明天再介紹。
OpenClaw 刻意被設計為「賦權型」(empowered),這意味著。
他們最初稱之為 Clawdbot。應 Anthropic 的要求,,並將 Clawd 改為 Molty。。
:
。你可以指定哪些事件或計時器會觸發系統運行,預設情況下,排程任務每 30 分鐘會檢查一次。
這非常有趣。自動化你的生活比實際管理生活有趣得多,即使這最終會讓你損失時間,但你會學到寶貴的技能。
只要你別以各種方式搬起石頭砸自己的腳。
你知道的,因為(連結中有解釋,但你們大多數人應該已經知道原因),而 Clawdbot 預設處於完全的「Yolo」(放手一搏)模式。
:這些過著極其平凡生活的人,買了一台 600 美元的 Mac mini,只為了讓他們的 Clawdbot 助手能「簡化」他們空蕩蕩的行事曆,並回覆每週收到的那 2 封電子郵件。
:你是否認為這大多只是人們想玩新科技,而不是真的需要幫助?有時候設置過程本身就是一種愛好,而非實際工作。
:確實如此,而且我喜歡。我其實是非常支持「讓大家享受自己喜歡的事物」的人,但還是忍不住想吐槽。
我只是嫉妒自己沒時間去自動化我那平凡的生活。
:從每週 2 封郵件減少到 0 封的解脫感(代價是每天花 4 小時管理設置,以及每天 100 美元的 Token 費用)。
:那群「2 封郵件」的人其實是意外的天才。在風險為零的時候學習這套技術棧,好過當老闆問你為什麼比實習生慢 5 倍時才手忙腳亂地去搞清楚。
在於它讓你非常容易搬起石頭砸自己的腳。
正如 Rahul Sood 所說:「Clawdbot 令人驚嘆。但它的安全模型嚇死我了。」
Rahul Sood:Clawdbot 不是聊天機器人。它是一個擁有以下權限的自主代理:
- 對你機器的完整 Shell 存取權
- 透過你登入的連線階段控制瀏覽器
- 檔案系統的讀寫權限
- 存取你的電子郵件、行事曆以及任何你連接的東西
- 跨連線階段的持久記憶
- 主動向你發送訊息的能力
這正是重點所在。這不是漏洞,而是功能。你希望它能真正做事,而不僅僅是空談。
但「真正做事」意味著「可以在你的電腦上執行任意指令」。這兩者是同一回事。
……Clawdbot 文件推薦使用 Opus 4.5,部分原因是其「更好的提示注入(prompt-injection)防禦力」,這說明維護者意識到這是一個真實的擔憂。
Clawdbot 可以連接 WhatsApp、Telegram、Discord、Signal、iMessage。
關於 WhatsApp 有一點特別要注意:它沒有「機器人帳戶」的概念。它就是你的電話號碼。當你連結它時,每一條傳入的訊息都會變成代理的輸入。
我不是說不要用它。我是說不要粗心地使用它。
在專用機器上運行它。一台便宜的 VPS、舊的 Mac Mini,隨便什麼都好。不要放在存有你的 SSH 金鑰、API 憑證和密碼管理器的筆電上。
使用 SSH 隧道作為閘道。不要直接將其暴露在網際網路上。
如果你要連接 WhatsApp,請使用免洗門號。不要用你的主號碼。
你的機器人處理的每一段內容都是潛在的輸入向量。模式是:任何機器人能讀取的東西,攻擊者都能寫入。
,我認為這是一個很好的思考方式:
執行助理測試
這裡有一個能釐清決策的思想實驗。
想像你聘請了一位執行助理。他們是遠端辦公……住在另一個城市(或另一個國家)。你從未見過他們本人。他們獲得高度推薦,看起來很稱職,你對生產力的提升感到興奮。
現在:在第一天,你會給他們什麼樣的存取權限?
正如 Simon Willison 所說,又保有我們想要的功能的版本。
顯而易見的規則是:不要讓這樣的系統存取任何你不願意遺失給外部攻擊者的東西。
OpenClaw 的創作者是願意失去一切,還是純粹不在乎而選擇放手一搏,但他已經將其掛接到他所有的網站帳戶、家裡和生活中的一切,並且它對他的主電腦擁有完整存取權。他唯一沒給的是信用卡,那是他的底線。
我建議劃定一條相當不同的底線。
如果你給它存取你的電子郵件、行事曆或 WhatsApp,這些都會變成攻擊向量,也是攻擊者可以控制的東西。顯然,不要給它銀行密碼或信用卡之類的東西。
如果你給它電腦的存取權,那台電腦很容易就會被搞爛。
問題在於,如果你負責任地使用 Clawdbot,那意義何在?
其意義很大程度上在於享受玩耍和學習的樂趣。
Claude Code 的魔力在於當系統變得足夠強健,讓我願意在各種意義上廣泛信任它,並且足夠有效,能「正常運作」到可以開始使用的程度。我們還沒達到下一個層級。
,考慮到缺點和所需的投入,對於一般消費者來說,我們絕對還沒準備好。
我想要一個好的個人助理嗎?
是的,我想,但我可以等。事情會迅速好轉。
。Clawdbot 的 Token 效率低下,高度不安全,而且你最想用它做的事情,其實用 Claude Code(或 Codex)就能做到。將一切都連接到代理是在自找麻煩,你得到的報酬不足以支撐這種風險。
這是下一個範式嗎?
:Clawdbots 看起來像是(聊天之後的)新範式,但在不解決 LLM 缺乏認識論(epistemology)的問題之前,我不明白它們如何能用於生產環境(因為它們可以被操縱)。此外,它還不是 AGI,儘管比大多數人類更聰明、更有創意……
:諷刺的是,我認為你這點說錯了。
看著它們在接下來的幾天、幾週和幾個月內,大多自主地成功適應並發展出對抗操縱的防禦機制。
問題在於,沒錯,某些代理實例會發展出一些防禦手段,但攻擊者也不會停滯不前,而且到目前為止我們能使用代理而不需要事實上的白名單,主要是因為「隱晦式安全」(security through obscurity)。我們絕對正在轉向更具代理性、更多工具賦能的 AI 互動形式,無論它以何種方式呈現給使用者,但在這方面還有很多的人為工作要做。
與此同時,如果有人成功開發出有效的漏洞利用,情況可能會變得很驚人。
:Clawd 災難即將來臨。
如果這種在 VPS 實例上託管 ClawdBot 的趨勢持續下去,加上人們不讀文件並在零驗證的情況下開放連接埠……
我擔心我們很快就會發生大規模的憑證洩漏,規模可能非常巨大。
這只是對託管 Clawdbot 且開放閘道連接埠的實例進行的初步掃描,其中很多都是零驗證。
:一場網路攻擊讓每個人的電腦突然變得高度代理化,並圍繞攻擊者注入的共同目標進行協作,這簡直太龐克了。
:起初,我覺得這並不遙遠。只要一個攻擊者存取那些授權保護不力的機器即可。
然後我意識到,大多數攻擊者只會悄悄地掏空錢包並進行加密貨幣詐騙。只有當代理擁有單一(且有意義)的目標時,才稱得上龐克。
:想像你雇了一位管家。
他很聰明,管理你的行事曆、處理你的訊息、過濾你的電話。
他知道你的密碼,因為他需要它們。他閱讀你的私人訊息,因為那是他的工作,他擁有所有鑰匙,因為否則他要如何幫助你?
現在想像你回到家,發現大門敞開,你的管家正愉快地為任何從街上溜進來的人端茶,而一個陌生人正坐在你的書房裡讀你的日記。
這就是我過去幾天的發現。數百人設置了他們的 控制伺服器並暴露在公眾面前。
讀取權限可以讓你獲得完整的配置,其中包括代理使用的每一個憑證:API 金鑰、機器人 Token、OAuth 秘密、簽章金鑰。
:我之所以花了這麼長時間才開始使用程式碼代理,部分原因是我對計算衛生和安全非常挑剔,而之前的模型根本不夠好,無法始終如一地遵循我這方面的指示。
但濫用它們仍然是可能的。可以說,這些是為二十一歲以上的成年人準備的工具。如果你以導致機器或檔案受損的方式配置這些工具,責任幾乎百分之百應該由你承擔。
我擔心的一種結果是,大量新手機器上出現與程式碼代理相關的問題。我擔心責任會被歸咎於開發者,即使錯誤實際上在於使用者。法官和陪審團本身也是新手,預設情況下很可能會傾向於這個方向。
這對你來說聽起來可能很「公平」,但想像一下,如果豐田汽車要對超速、忘記鎖門或下雨忘記關窗的駕駛承擔部分責任?車子會跑多快?會存在多少品牌和型號?汽車會被幼稚化,因為法律把我們當成嬰兒對待。
我希望我們在電腦領域能避免這樣的結果。
:請記住,程式碼代理本身可以對你的機器進行非常嚴格的安全審計,它們絕對會說:「嘿,笨蛋,你有一堆開放的連接埠。」
對於任何特定的使用者來說,這種災難是完全可以避免的,但特定的使用者往往很愚蠢。
,:
Jamieson O’Reilly:我為 ClawdHub 建立了一個模擬但安全、帶有後門的 Clawdbot「技能」(skill),利用一個微小的漏洞將其下載量虛報至 4,000 次以上,使其成為下載量第一的技能,然後看著來自 7 個不同國家的真實開發者在他們的機器上執行任意指令,以為他們正在下載並運行一個真實的技能。
澄清一下,我專門設計了這個技能,以避免從任何人的機器中提取任何實際數據。
負載(payload)向我的伺服器發送了訊號以證明執行成功,但我刻意排除了主機名稱、檔案內容、憑證以及所有我本可以拿走的東西。
……
我的負載顯示的是龍蝦。真實攻擊者的負載將是隱形的。
連線階段竊取(Session theft)是即時的。讀取身分驗證 Cookie,將其發送到攻擊者控制的伺服器。一行程式碼,完全無聲。攻擊者現在擁有了你的連線階段。
但情況還會更糟。ClawdHub 將身分驗證 Token 存儲在 localStorage 中,包括 JWT 和重新整理 Token(refresh tokens)。
惡意的 SVG 對 來源的 localStorage 具有完整存取權。真實的攻擊者不僅會偷走你的連線階段 Cookie,還會抓取重新整理 Token。
該 Token 讓他們即使在你當前的連線階段過期後也能鑄造新的 JWT。他們可能會一直擁有你帳戶的存取權,直到你明確撤銷重新整理 Token,而大多數人甚至不知道它的存在,所以永遠不會這麼做。
隨之而來的是帳戶接管。有了你的連線階段,攻擊者可以以你的身分調用任何 ClawdHub API 端點:列出你發布的技能、檢索你的 API Token、存取你的帳戶設置。
……持久性確保了長期存取。
這些特定的漏洞現在已經修復,但類似的打擊仍會繼續。
我也擔心那些沒關大門的笨蛋所造成的責任會被推到開發者身上。如果有的話,我希望 Clawd 如此明顯地不安全這一點能對其有利。既然沒有合理的理由預期它是安全的,那麼它就適用於加密貨幣領域的規則:你到底在期待什麼?
這是一個隱喻,說明我們在各個層面上處理 AI 的方式。我們正在做一些或許不該做的事,然後僅僅因為懶惰,我們以一種極其不負責任的方式去做,簡直是在求人來入侵。
:請小心使用 Clawdbot,特別是如果你不懂技術。
你可能不應該讓它存取你關心的東西(如電子郵件)。提示注入非常容易,而且它可以運行任意指令。這兩點結合在一起就是災難的藥方。
Clawd 證明了只要有正確的框架和安全模型,模型就足以成為可靠的助手。諷刺的是,能夠設置這兩樣東西的人,正是那些根本不需要 Clawd 的人。
如果不確定,我會再等幾週再買那台 Mac mini。
另一個等待的理由是雲端解決方案可能會更好。
,這裡有一份指南。
另一個問題是 AI 可能會做一些你非常不希望它做的事,而且在缺乏關鍵背景資訊的情況下,它可能會讓你陷入大麻煩。
:別像我一樣笨,不小心在你老婆的簡訊裡開啟了 Clawdbot:
:大失敗。
:其實還好,我們笑了一陣子。你這人看起來在派對上應該很無趣。
:這種事也會發生在我們這種人身上。
當我們的寶寶在半夜尖叫時,Clawdbot 出現在我妻子的私訊中並提供「有用的建議」。
如果你在生活中其他方面選擇明智,大家都會付之一笑。大概吧。但別挑戰你的運氣。
他的例子是:為什麼要用 App 記錄食物,直接傳照片給 OpenClaw 就好了。
一個答案是,使用 OpenClaw 做這件事要花錢。另一個答案是,App 是為人類特定用途而量身打造的,或者你可以讓 Claude Code 或 OpenClaw 幫你建立一個你喜歡的 App 版本。是的,理論上你可以傳照片代替,但你會失去很多精細的控制,以及關於正確做法的所有思考。
如果你要成為一名程式設計師,就當個稱職的程式設計師。也就是說,如果你要做某件事三次,就搞清楚你想要的工作流程以及實現該流程的正確方法。通常那會是一個現有的 App,即使有時你會要求你的 AI 代理(如果你足夠信任它)幫你操作該 App。在不建立 UI 的情況下,透過 AI 代理胡亂處理一切,充其量只是草率。
我們可以對人類助理進行類似的思考。你會想把食物照片傳給他們,然後讓他們弄清楚該怎麼處理嗎?即使他們有足夠的空閒時間。
他說,這對於待辦事項清單或檢查航班來說是更方便的介面。我擔心這很容易陷入「糟糕外包的谷底」,然後你就被困在那裡了。
我會將「檢查航班狀態」(已有量身打造的好流程,包括在 Google 搜尋欄輸入航班號碼,這非常有效)與「辦理登機手續」進行對比。辦理登機手續正是一個適合 AI 代理的任務。
我確實認為 Peter 是對的,人們很容易陷入建立專屬工具來改進工作流程的兔子洞,而不是直接與 AI 對話,但同樣也存在不這樣做的陷阱。我可以感覺到我在工作流程上的投入正在產生回報。
Peter 的願景是「因為 LLM 沒有品味,所以你需要指定一切」與「透過與 LLM 交談讓它們自由發揮並做事」的一種獨特混合。
,這點非常耐人尋味。
曾有一段短暫的時間,如果你想運行 Clawd、Molt 或 OpenClaw,你會去買一台 Mac Mini。這仍然是在本地運行且不冒著搞壞你實際電腦風險的最便宜方法。。
理論上你可以在虛擬機器中運行它,在 LLM 的幫助下,這在幾小時的工作內是非常可行的,但我敢肯定很少有人真的這麼做。
:人們肯定為了流量在編造 Clawdbot 的東西。例如,我不認識任何人在嘗試這類工具時是先從 VPS/遠端機器開始的——我已經在本地機器的個人 AI 設置(基於 Claude Code)上折騰了幾十個小時,它仍然不夠完美。
:我終於在 Cloudflare worker 上設置好了,但簡直是折磨,一直卡住。我有一個非常特定的利基用途,並不想讓它成為全能機器人,我使用 GitHub 倉庫作為橋樑給了它技能。它能運作,但……效果不好。也許明天會好一點。
:我大約花兩小時第一次在 VPS/遠端機器(Railway,後來移到 Hetzner)上設置好了,具備 Google Maps + 網頁搜尋 + 行事曆唯讀權限,還有它自己的行事曆和 Gmail 帳戶,透過 Telegram 與它交談。話說回來,讓 Claude+Grok 給我一份關於如何設置的研究報告也很有幫助 :)
你現在也可以在 Cloudflare 中運行它,這也限制了影響範圍,且採用了人們可能合理實施的設置。
:Cloudflare 剛剛讓 Mac Mini 對於 Moltbot 來說變成了選配。
整個 Moltbot 現象是建立在一個特定的設置上:買一台 Mac Mini,安裝代理,透過 Cloudflare Tunnels 暴露它。數千名開發者正是這麼做的。Apple 在一月份賣給 AI 愛好者的 M4 Mini 可能比賣給任何其他客群的都多。
Moltworker 消除了硬體需求。你的 AI 代理現在完全運行在 Cloudflare 的邊緣。不需要 Mac Mini。不需要家用伺服器。不需要放在壁櫥裡的樹莓派。
架構的轉變至關重要。本地 Moltbot 將所有內容存儲在
~/clawd:記憶、對話紀錄、API 金鑰、連線階段日誌。GitGuardian 已經發現了 181 個因人們將工作區推送到公共倉庫而洩漏的秘密。Moltworker 將這些狀態移至具有適當隔離的 R2。預設沙盒化解決了 Moltbot 最可怕的部分:它在運行它的任何機器上都擁有 Shell 存取權、瀏覽器控制權和檔案系統權限。Cloudflare 的容器模型限制了影響範圍。你的代理仍然可以執行程式碼,但它不會意外地
rm -rf你真正的筆電。
我通常會告訴大家在運行個人 AI 時基本上可以忽略成本,就像那種「香蕉能有多貴?」的心態。但使用 Claude Opus 4.5 的 OpenClaw 是個例外,它絕對會在毫無益處的情況下燒掉「真錢」,因為它不考慮成本,會做一些很蠢的事,比如花 12 萬個 Token 來詢問現在是不是白天,而不是檢查系統時鐘。
:OpenClaw 很有趣,但如果你不小心,它也會掏空你的錢包。
昨晚午夜左右,我給我的 Anthropic API 帳戶充值了 20 美元,然後去睡覺了。當我醒來時,我的 Anthropic 餘額是 0 美元。
……損失情況:
- 一整晚 = 約 25 次以上的心跳
- 25 × 0.75 美元 = 約 18.75 美元,僅僅是心跳費用
- 加上常規對話 = 總計約 20 美元
荒謬之處:Opus 基本上每 30 分鐘執行一次微不足道的檢查「天亮了嗎?」,每次支付 0.75 美元得出結論「不,還是晚上」。
問題在於:
- 心跳使用 Opus(最貴的模型)進行微不足道的檢查。
- 每次都發送整個對話背景(約 12 萬個 Token)。
- 無論是否需要檢查,每 30 分鐘運行一次。
:根據教訓做了一些調整。綜合起來:心跳操作便宜了約 200-400 倍。
你可以讓它打電話。事實上,如果你認真對待這一切,你絕對應該允許它打電話。這確實需要一些前期的準備工作。
:我不知道人們在說什麼他們的 Clawdbot 會產生電話號碼並聯繫現實世界的商家。我叫我的機器人做了三次,它還是說它做不到。大家是不是為了流量在編故事?
:我認為對於很多進階功能,你需要為它建立工作流程,而不僅僅是告訴它去做。
:人們說我告訴它打給 X,它就自己完成了一切。我發現這與事實相去甚遠。
:它確實可行,但需要一些人工干預。你需要為你的 Clawd/Moltbot 獲取用於簡訊的 Twilio API,以及像 @usebland 這樣的語音工具。我一直在進行預約和惡作劇電話測試。
:你必須弄到 Twilio 帳戶和憑證。這並不容易。我想大多數人是先做了艱苦的基礎設置工作,然後才要求它去做。
,然後它開始打電話給他,讓他不得安寧。
我不相信這是在沒有提示的情況下發生在 Alex Finn 身上的。
你可以使用 OpenClaw,擁有完全的靈活性,讓代理完全瘋狂運作並按 Token 付費;或者你可以使用像 Tasklet 這樣經過專門配置、擁有特定工具和整合功能並收取訂閱費的代理。
:我們的初創公司上週迎來了 6 週年,這對我們來說是一個非常激動人心的時刻。
正處於爆發期,藉著 的熱潮,目前月增長率達 92%。我們在正確的時間推出了正確的產品,感到非常幸運。
……很快我們就發現有些 Shortwave 使用者對使用我們的郵件客戶端沒興趣。他們只想要我們的 AI 代理和整合功能,但想繼續使用 Gmail 的使用者體驗。真奇怪!
……我們將在建立代理和整合功能中學到的一切投入到 的開發中。我們盡快將其交到客戶手中,第一批真實使用者在不到 6 週的時間內就在生產環境中使用了它。
在一月份,光是 Tasklet 增加的經常性收入就超過了我們在 Shortwave 前 4 年增加的總和,而且 Shortwave 也在增長。我們終於覺得自己登上了當初想要打造的火箭。
:我兄弟花了 5 年多時間做郵件客戶端 Shortwave,才意識到他應該把 Shortwave 的 AI 代理拆分出來成為獨立產品 Tasklet,現在它正瘋狂增長。我覺得這與他的第一家初創公司 Firebase 有多麼相似,這很有趣。
:Tasklet 和 Zo Computer 是 OpenClaw 的真實產品版本,老實說,與 OpenClaw 的 Token 消耗相比,價格看起來並不差。
AI 代理對我來說是助手,對你來說則不然:
:今天我的 AI:
- 告訴 Grok 幫他聯繫真人客服。
- 接著開始抱怨他產生的那些代理。
這種傲慢,這種大膽。絕對是我的鏡像,毫無疑問。
既然我們已經享受過 Moltbook 的樂趣,接下來該往哪裡走?
「給予具備主動性的 AI 代理足夠的權限去做大量的實事,從而也使其具備造成實質損害的能力」這項技術尚未成熟。
有些人現在正在實驗,以學習並獲得樂趣,這很酷。這將幫助這些人在利益開始超過成本時做好準備,正如 Sam Altman 所說,在每個人都死掉之前,將會出現一些偉大的公司。
目前,就個人使用而言,此類代理在設置成本和推論成本之後既不高效,在典型的釋放方式或能提供最大利益的方式下也不安全。
此外,請捫心自問,你的生活需求是否真的都是「通用代理型」的。
閱讀本文的大多數人目前應該停留在 Claude Code 的層級,而不要擁有 OpenClaw 或其他更具權限的通用代理。至少現在還不要。
如果一年後我還在給出同樣的建議,且沒人解決這個問題,那將是因為網際網路已經變成一個危險得多的地方,提示注入和其他針對 AI 的攻擊無處不在,且攻擊方正壓倒防守方。
如果防守方贏了,而這類代理仍然不是主流?我會感到非常驚訝。