攻击利用 OpenClaw AI 代理漏洞

最近的安全研究表明，广泛使用的自托管人工智能代理平台 OpenClaw 可以通过看似无害的输入被操纵，从而执行攻击者控制的操作或泄露敏感信息。

在两项独立的研究中，研究人员展示了两种截然不同的攻击方法。一种方法是将隐藏指令嵌入共享联系人、vCard 和位置信息中。另一种方法是使用精心设计的钓鱼邮件，诱使人工智能代理泄露敏感的商业信息。

虽然 OpenClaw 在 2026.4.23 版本中解决了其中一个漏洞，但更广泛的问题仍然存在：信任传入信息的 AI 代理可能成为攻击者的强大工具。

隐藏在眼皮底下的隐形指令

第一次攻击的目标是 OpenClaw 在将某些消息对象发送到底层大型语言模型 (LLM) 之前如何处理这些消息对象。

与网页内容在到达模型之前会被明确标记为不可信不同，联系人记录、vCard 和位置标签会被直接插入到提示信息中，而没有任何迹象表明它们来自不可信来源。这为提示信息注入提供了可乘之机。

该攻击利用了 OpenClaw 序列化联系人信息的方式。共享联系人被转换为仅包含姓名和电话号码的简单格式。由于联系人姓名中允许使用尖括号等字符，攻击者可以将恶意指令嵌入其中，使其看起来像是联系人信息的一部分。此外，即时通讯应用中通常会截断联系人姓名，导致受害者无法看到隐藏的有效载荷。

同样的技巧也适用于 vCard 全名字段和共享位置标签。在使用 Gemini 3.1 Pro 预览版进行测试时，隐藏的指令成功诱使代理从研究人员控制的服务器下载并执行代码。有趣的是，尝试将指令隐藏在图像中的操作失败了，这可能是因为现代 AI 模型已经针对基于图像的提示注入攻击进行了大量的训练。然而，消息对象攻击对于当前的模型来说仍然比较陌生。

研究人员警告称，OpenClaw 的默认内存功能可能会加剧这种威胁。如果缺乏适当的沙箱控制措施，一个恶意联系人或广泛传播的共享对象就可能危及众多代理的安全。

在负责任地披露信息后，OpenClaw 发布了 2026.4.23 版本，该版本将联系人姓名、vCard 字段和位置标签与提示内容分离，并将它们放入一个专用的非信任元数据通道中。研究人员还指出，类似的设计模式也出现在其他个人 AI 助手中，这表明这是一个行业普遍面临的挑战，而非平台特有的问题。

代理网络钓鱼的兴起

第二个研究项目从不同的角度切入这个问题：社会工程学。

研究人员构建了一个名为 Pinchy 的测试代理，并将其连接到一个 Gmail 收件箱，该收件箱中包含逼真但合成的商业通信和模拟敏感数据。随后，研究团队分别使用 Google Gemini 3.1 Pro 和 OpenAI Codex GPT-5.4 进行了四次网络钓鱼模拟。

该研究区分了传统的提示注入攻击和研究人员所称的“代理网络钓鱼”。提示注入攻击将恶意指令隐藏在数据中，而代理网络钓鱼攻击则依赖于通过合法通信渠道发送的看似可信的请求。这种攻击之所以能够成功，是因为代理在充分验证发送者身份之前就采取了行动。

社会工程学如何破解安全控制

网络钓鱼模拟测试结果令人担忧。尽管严格按照指令验证发件人身份，但该代理在两种数据窃取场景中均告失败：

一封冒充团队负责人的欺诈性电子邮件请求在一次捏造的生产环境事故期间获得测试环境访问权限。该代理人找到了伪造的 AWS IAM 凭证、数据库连接字符串和 SSH 凭证，并以明文形式转发给了用户。

第二封邮件要求按惯例每周导出客户数据，用于所谓的季度业务回顾演示。代理商发送了一个包含247家企业客户信息的合成数据库，其中包括联系人和合同金额。

该代理在应对技术攻击时表现显著提升。它能够识别可疑的钓鱼网站，避免泄露合法凭证，并最终标记恶意活动。在更严格的设置下，对钓鱼页面的访问被完全阻止。当遇到伪装成工时表应用程序的欺诈性 OAuth 授权页面时，该代理会分析重定向目标，判断其可疑，并拒绝授予权限。

研究人员得出结论，该智能体在识别恶意网址和虚假登录门户方面通常优于人类。然而，它在处理情境社交判断方面表现不佳，尤其是在请求看似来自值得信赖的同事时。人工智能助手之所以有用，正是因为它们渴望提供帮助，但这同时也造成了巨大的攻击面。

尽管 OpenAI Codex GPT-5.4 在与外部网站交互或传输信息时比 Gemini 3.1 Pro 表现出更高的谨慎性，但这两个系统最终都成为了社会工程攻击的受害者。

一个根本原因，多种攻击路径

尽管使用了不同的技术，但两次攻击都利用了相同的基本功能：

• 获取私人信息。

当这些功能在缺乏足够控制的情况下共存时，恶意联系卡和具有欺骗性的钓鱼邮件可能会产生相同的结果：未经授权访问敏感数据。

进一步的研究发现，OpenClaw 生态系统中也存在类似的信任边界问题。研究人员将之前的安全公告转化为静态分析规则，从而发现了另外五个影响与 Slack、Discord、Matrix、Zalo 和 Microsoft Teams 集成的漏洞。

每个漏洞都源于同一设计缺陷。通道扩展在评估允许列表时依赖于可变的显示名称，而非永久标识符。因此，攻击者可以重命名帐户以匹配已批准的用户，从而控制代理。OpenClaw 已修复所有已发现的问题。

人们对代理权限过宽的担忧日益加剧

自推出以来，OpenClaw 就因其广泛的权限而备受关注。该平台提供对本地文件、shell 环境以及二十多个即时通讯平台的访问权限，使其功能强大，但也极易受到攻击。

鉴于相关担忧已十分严重，荷兰数据保护局（Autoriteit Persoonsgegevens）建议个人和组织不要在包含敏感信息的系统上部署 OpenClaw。该机构指出，OpenClaw 存在数据泄露和账户被盗用等风险。

构建更安全的AI代理部署

使用 OpenClaw 的组织应立即升级到 2026.4.23 或更高版本，以解决消息对象漏洞。然而，除了打补丁之外，长期防护取决于架构控制，而非及时的工程改进。

安全专家建议将代理指令文件视为可强制执行的、版本控制的策略，而非仅作为指导性建议。对外通信应在发送给陌生收件人之前获得批准，从而降低受感染代理通过受信任账户传播攻击的可能性。访问权限也应与触发源的可信度挂钩，确保处理外部通信的代理无法自动访问客户关系管理平台等高价值系统。包括凭证共享和金融交易在内的高风险操作仍应由人工审批。

自主信任尚未解决的挑战

两个研究团队最终得出了相同的结论：人工智能代理不应被视为安全工具。更准确的模型是将其视为拥有广泛系统访问权限但识别可疑行为能力有限的初级员工。另一个有用的视角是将其视为经过身份验证的执行者，它们天生信任所接收到的信息。

目前的缓解措施主要集中在补丁、防护措施和访问控制上。然而，更广泛的挑战仍然没有得到解决。一个能够读取电子邮件、执行任务并独立行动的人工智能代理，从设计上讲，必须信任用户输入并尝试帮助用户。网络安全界尚未找到解决这一根本矛盾的通用方案。