OpenClaw提供了强大的自动化,但如果没有适当的安全监督,它可能会带来真正的风险。阅读来自Jamf威胁实验室的最新消息。
什么是OpenClaw(“思考”运行时)?
OpenClaw代表了从软件作为被动工具到软件作为主动队友的转变。一个自主系统,不等待点击,而是自行推理、决定和行动。这是一个用于构建自主人工智能代理的开源框架,最好被理解为一个带有“大脑”的自动化引擎,能够跨工具串联动作,保持长期记忆并随着时间的推移发展其能力。
给它一个高级别的目标,例如,“研究最新的收益报告,总结它们,并起草一封给董事会的电子邮件”,它不会止步于一次搜索。它决定要提取哪些数据,要调用哪些API,要读取或写入哪些文件,以及如何格式化输出。
它原生在macOS、Windows和Linux上运行,通常作为后台服务。它与消息平台、公司电子邮件、日历、云控制台和本地文件直接集成。它会记住跨会话的上下文,并且可以在几个小时或几天后从离开的地方接再接。
OpenClaw怎么会有危险?
虽然它提供了强大的自动化和提高生产力的能力,但几个安全问题使它特别危险,如果不仔细关注安全性:
关键风险:
- 不受限制的系统访问:OpenClaw代理可以执行shell命令、访问文件以及与应用程序交互,而无需内置安全边界。
- 横向移动潜力:一旦部署,代理就有可能访问网络资源并跨系统传播。
- 数据泄露:人工智能代理可以广泛访问他们处理的信息,这造成了数据丢失的风险。
- 缺乏审计跟踪:许多部署缺乏代理操作的全面日志记录。
- 影子 IT 部署:用户无需 IT 批准或安全审核即可安装 OpenClaw。
代理风险变成现实的地方
在OpenClaw部署中,风险很少来自软件错误或恶意意图。更常见的是,它从没有明确界限的强大功能中出现。最近的GitHub安全建议说明了自主代理可以多么快地从一个有用的助手转变为高风险的内部人员。
一些建议表明,一旦攻击者访问代理凭据或控制接口,爆炸半径就很大。令牌泄露问题(例如,GHSA-g8p2-7wf7-98mq,CVE-2026-25253)暴露了单个被盗网关令牌启用远程连接、配置更改和任意命令执行的路径。同时,本地文件包含缺陷(如GHSA-r8g4-86fx-92mq)允许代理通过简单地发出专门制作的路径来读取敏感文件,绕过传统的文件系统控制。其他建议(包括GHSA-q284-4pvr-m585、GHSA-g55j-c2v4-pjcg)展示了如何通过未转义的用户输入、不安全的WebSocket配置写入或SSH处理来实现命令注入,从而在最少的交互下执行。
将许多这些问题联系在一起的是代理人如何消费和根据投入采取行动。OpenClaw代理定期接收电子邮件、文档、网页、聊天消息和第三方技能,作为其正常操作的一部分。这为间接快速注入创造了肥沃的土壤,其中恶意指令嵌入了其他合法内容中。
由于这些指令是通过正常的业务输入到达的,因此产生的操作通常与合法的自动化无法区分。代理人不是传统意义上的剥削——而是被教导的。使用有效权限访问文件,通过授权的API处理凭据,出站通信遵循预期的工作流程。
周围的生态系统放大了这种风险。公共技能存储库已经展示了恶意扩展如何伪装成合法功能,一旦安装就会永久改变代理行为。
与此同时,许多现实世界的部署将API密钥、OAuth令牌和对话历史记录存储在可访问的位置,或在没有强身份验证的情况下公开控制接口,使妥协后持久性易于维护。
总的来说,这些不是理论上的问题。它們展示了受信任的、關鍵任務端點裝置上的過度特權、管理不足的代理如何成為一個持久和受信任的執行層——攻擊者可以透過內容、配置或供應鏈操作而不是傳統的漏洞間接引導。
OpenClaw部署的检测和可见性
在 macOS 中关注这些路径有助于在您的组织中发现 OpenClaw:
~/.openclaw~/Library/LaunchAgents/ai.openclaw.gateway.plist/Applications/OpenClaw.app(可选的macOS配套应用程序)
检测方法:
- 流程监控:检测OpenClaw的安装/入职命令以及从Clawhub安装技能的相关命令。
- 网络流量分析:阻止与OpenClaw关联的域,并监控对LLM提供商(OpenAI、Anthropic等)的API调用。
- 文件系统扫描:监控OpenClaw安装目录、配置文件和持久性项目。
- API密钥检测:在环境变量或配置文件中扫描AI服务API密钥
配置Mac版Jamf以进行预防、检测和补救
如果符合您的公司政策和降低风险策略,Jamf for Mac 支援全面保護,防止 macOS 中未经授权的 AI 代理部署。
基于Jamf的保护策略:
1.预防
- 基于网络的控制。内容分类:在内容过滤中启用阻止其他生成性人工智能
包括的领域(在撰写本文时):
- clawhub.ai
- openclaw.ai
- open- claw.me
- molt.bot
- openclaw.bot
端点二进制运行时预防。自定义预防:将macOS Companion应用程序添加到Jamf Protect的自定义预防列表中
- 签名ID =
bolt.molt.mac - 团队ID =
Y5PE65HELJ
- 自助服务:使用政策参考有关使用 OpenClaw 风险的文档
- 文档:确保企业安全政策包括围绕人工智能代理的措辞
- 确保在自助服务和内部政策中都能轻松访问和引用替代人工智能工具(如果有的话)。
Jamf Protect的高级威胁控制(ATC)有助于防止执行用于安装恶意技能的已知恶意命令。
2.检测
Jamf专业
- 扩展属性:
- OpenClaw状态:在GitHub上查看文件
- OpenClaw技能已启用:在GitHub上查看文件
Jamf保护
- 自定义分析:特定OpenClaw使用情况的行为检测(非阻塞)
- 遥测:遥测提供了 macOS 设备上 OpenClaw 的安装和使用情况,使安全运营商能够检测其 SIEM 中的 OpenClaw 活动。
3.回应
- 分析补救:阅读 Jamf 学习中心上的文档
- 用户通知:提醒用户违反政策,使用
- 合规性报告:生成有关人工智能代理部署尝试的报告
人工智能代理治理的最佳实践
- 制定明确的政策:定义可接受的人工智能代理用例
- 需要批准工作流程:AI代理部署前的内部审查
- 实施监控:持续了解人工智能代理活动
- 安全培训:教育用户了解人工智能代理风险
- 供应商评估:评估具有内置安全性的商业替代方案
- 事件响应计划:为与人工智能代理相关的安全事件做好准备
结论
OpenClaw和类似的人工智能代理框架代表了强大的自动化工具,但在没有适当控制的情况下部署时,它们会带来重大的安全风险。组织必须通过实施全面的检测、补救和预防策略来平衡创新和安全。使用像Jamf这样的MDM解决方案提供了在企业环境中安全管理人工智能代理所需的可见性和控制。
关键不是完全禁止人工智能代理,而是确保它们以受控、监控和安全的方式部署,以保护组织数据和系统。
转载自:https://www.jamf.com/blog/openclaw-ai-agent-insider-threat-analysis/