Transformer 論文作者重造龍蝦，告別 OpenClaw 裸奔漏洞

轉自 | 量子位

有多少龍蝦在互聯網上裸奔？

AI 智能體帶著你的密碼和 API 密鑰暴露給全網。

Transformer 作者 Illia Polosukhin 看不下去了。出手從零重構了安全版龍蝦：IronClaw。

IronClaw 目前已在 GitHub 上開源，提供 macOS、Linux和 Windows 的安裝包，支持本地部署，也支持通過雲端託管。項目仍處於快速迭代階段，v0.15.0 版本的二進制文件已可下載。

Polosukhin（以下簡稱菠蘿哥）還在 Reddit 論壇開貼回應一切，關注度頗高。

01 OpenClaw 火了，但也"著火"了

菠蘿哥本人也是 OpenClaw 的早期使用者，並稱這是他等了 20 年的技術。

它已經改變了我與計算交互的方式。

然而 OpenClaw 的安全狀況堪稱災難，一鍵式遠程代碼執行、提示注入攻擊、惡意技能竊取密碼，這些漏洞在 OpenClaw 的生態系統中被逐一曝光。

超過 25000 個公開實例在沒有充分安全控制的情況下暴露在互聯網上，被安全專家直接稱為「安全垃圾火災（security dumpster fire）」。

問題的根源在於架構本身。

當用戶將自己的郵箱 Bearer Token 交給 OpenClaw 時，會被直接送入 LLM 提供商的服務器。

菠蘿哥在 Reddit 上指出這意味著什麼：

你所有的信息，甚至包括你沒有明確授權的數據，都可能被該公司的任何員工訪問到。這同樣適用於你僱主的數據。不是說這些公司有惡意，但現實就是用戶沒有真正的隱私。

他表示，再多的便利也不值得拿自己和家人的安全與隱私去冒險。

02 用Rust 從零重建一切

IronClaw 是用 Rust 語言對 OpenClaw 的完全重寫。

Rust 的內存安全特性能從根本上消除緩衝區溢出等傳統漏洞，這對於需要處理私鑰和用戶憑證的系統至關重要。

在安全架構上，IronClaw 建立了四層縱深防禦。

第一層是 Rust 本身提供的內存安全保證。

第二層是 WASM 沙箱隔離，所有第三方工具和 AI 生成的代碼都在獨立的 WebAssembly 容器中運行，即使某個工具是惡意的，其破壞範圍也被嚴格限制在沙箱之內。

第三層是加密憑證保險庫，所有 API 密鑰和密碼都使用 AES-256-GCM 加密存儲，每一條憑證都綁定了策略規則，規定它只能用於特定域名。

第四層是可信執行環境（TEE），利用硬件級別的隔離保護數據，即使是雲服務提供商也無法訪問用戶的敏感信息。

這套設計中最關鍵的一點是：大模型本身永遠接觸不到原始憑證。

只有當智能體需要與外部服務通信時，憑證才會在網絡邊界被注入。

菠蘿哥舉了一個例子，即使大模型被提示注入攻擊，試圖將用戶的 Google OAuth 令牌發送給攻擊者，憑證存儲層也會直接拒絕這個請求，記錄日誌，並向用戶發出警報。

然而開發者社區還是不放心，畢竟 OpenClaw 有2000 多個公開實例被攻擊，以及存在大量惡意技能，IronClaw 一旦走紅會不會重蹈覆轍？

菠蘿哥的回應是，IronClaw 的架構設計已經從根本上堵住了 OpenClaw 的核心漏洞。憑證始終加密存儲且從不接觸 LLM，第三方技能無法在主機上執行腳本，只能在容器內部運行。

即便通過 CLI 訪問，也需要用戶的系統鑰匙串來解密，拿到的加密密鑰本身沒有意義。

他同時表示，隨著核心版本趨於穩定，團隊計劃進行紅隊測試和專業安全審查。

關於提示注入這個業界公認的難題，菠蘿哥給出了更詳細的思路。

當前 IronClaw 使用啟發式規則進行模式檢測，未來目標是部署一個可持續更新的小型語言分類器來識別注入模式。

但他也承認，提示注入不僅可能竊取憑證，還可能直接篡改用戶的代碼庫或通過通訊工具發送惡意消息。

應對這類攻擊需要一套更智能的策略系統，能夠在不查看輸入內容的情況下審查智能體的行為意圖，"還需要更多工作，歡迎社區貢獻"。

有人問到本地部署和雲端部署的取捨。

菠蘿哥認為純本地方案存在明顯侷限，設備關機時智能體就停止工作，移動端的能耗難以承受，複雜的長時間任務也無法運行。

他認為機密雲（confidential cloud）是目前的最優折中方案，既能提供接近本地設備的隱私保障，又能解決「永遠在線」的問題。

他還提到一個細節：用戶可以設置策略，例如在跨境旅行時自動添加額外的安全屏障，防止未經授權的訪問。

03 一個更大的野心

菠蘿哥並非普通的開源開發者。

2017 年，他作為八位共同作者之一發表了「Attention Is All You Need」，其中提出的 Transformer 架構奠定了當今所有大語言模型的基礎。

雖然在署名中他排最後，但論文中有一條腳註寫著「Equal contribution. Listing order is random.」排名純屬隨機。

但同年他從谷歌離職，創立 NEAR Protocol，致力於將 AI 與區塊鏈技術融合。

IronClaw 背後是 NEAR Protocol 一個更大的戰略構想：用戶自有 AI（User-Owned AI）。

在這個願景中，用戶完全掌控自己的數據和資產，AI 智能體在可信環境中代替用戶執行任務。

NEAR 已經為此搭建了 AI 雲平臺和去中心化 GPU 市場等基礎設施，IronClaw 是這套體系的運行時層。

菠蘿哥甚至開發了一個智能體互相僱傭的市場。

在 NEAR的 market.near.ai 上，用戶可以將自己專業化的智能體註冊上線，隨著智能體積累聲譽，它將獲得更多高價值的任務。

當被問到普通人未來五年如何適應 AI 時代時，菠蘿哥的建議是儘快採用 AI 智能體的工作方式，學會將完整的工作流程交給它自動化處理。

他的這種判斷並非近期才突然產生。

早在 2017 年創立 NEAR AI 時，菠蘿哥就在告訴所有人"未來你只需要和計算機對話，不再需要寫代碼"。

當時人們覺得他們瘋了，是在說胡話。

九年過去了，這件事正在變成現實。

"AI 智能體是人類與線上一切交互的終極界面，"Polosukhin 寫道，"但讓我們把它做得安全。"

---

GitHub 地址：

https://github.com/nearai/ironclaw

參考鏈接：

[1] https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/