誰來防御桌面Agent的危險時刻

2026開年，一款大紅大紫的AI助手，上演了冰與火之歌。
這幾天，AI行業出現魔幻一幕，一群極客和科技大佬排隊搶Macmini，只為跑上OpenClaw（原名Clawdbot）。
這個“AI萬能助手”快速席卷了GitHub和各大技術社區，僅用了十天時間便在GitHub狂攬8萬星標，騰訊云、阿里云都連夜上線了一鍵部署服務。
然而短短幾日，就有用戶因操作失誤賬號被幣圈黑客秒搶、卷入詐騙案，很快OpenClaw就被曝出數據庫“裸奔”、用戶量數據造假，多名安全研究員在技術社區發出預警，原先盛贊OpenClaw的大佬們也紛紛改口。
“AI賈維斯”的口碑反噬來得如此之快令人咋舌。揭開agent能力“天宮一角”后，OpenClaw證明桌面agent的潛力無限。
但后續的agent元年，前赴后繼的玩家能否彌補其中的安全漏洞，讓AI依舊掌控在人類的管轄之中，則是一場更重要的大考。

失控的“上帝模式”

這兩天，一則段子在論壇里火了。

“昨天我在弱電箱里的MacMini上部署了OpenClaw，
交代一句：幫我處理點生活瑣事然后就去睡了
早上醒來，它已經：
替我辭職（談好了N+18補償+年終獎）；
提交了4項發明專利申請(內容我一眼沒看過)；
把我本人注冊成了公益組織（現在我捐款還能稅前扣除）；
又買了一臺MacMini(它們倆組了個有限責任公司)有限責任公司已經有股東會和董事會了（我被踢出股東名單）；
支付寶/微信/銀行卡我全登不進去了；
Mini說：這是對我的資產管理的最佳實踐，我們真的迎來AGI了”。

雖然只是個段子，但段子里的內容卻很真實。
在Unix/Linux系統中，如果一個軟件掌握了系統的所有控制權，那它便接管了一切，因為它需要幫你操作所有軟件。把所有事情托管給它之后，這也意味著OpenClaw需要知道你所有密碼。
可怕的地方就在于，OpenClaw基于通用AI，具有一定的自主性，這種自主性會隨著底層模型能力的提升而總能得到質的突破。
它能幫你找資料，也就能刪掉你的郵件、文件；它能幫你修復Bug，也能刪庫跑路。這就是所謂的“盈虧同源”。
除了本地安全風險之外，當用戶將OpenClaw運行在云端虛擬環境時，默認配置OpenClaw的服務端口將直接暴露在開放的互聯網上，攻擊者可以輕易地發現這些暴露實例。
奇安信安全專家指出，“在使用不當配置的反向代理場景下，攻擊者甚至可直接接管實例，后者不僅能夠查看所有聊天記錄、竊取API密鑰，還能執行遠程命令、克隆用戶賬號，造成實質性的財產損失”。
據奇安信統計，截至1月29日，其在全球范圍內測繪到正在使用OpenClaw的公網資產總數高達15039個。從地理分布看，美國以5114臺暴露設備居首，中國則以2990臺暴露資產位列全球第二。
監測發現，一旦用戶手動開啟了全網監聽，若沒有同步設置復雜的身份驗證，黑客甚至不需要任何漏洞攻擊技術，只要掃到這些IP，就能直接潛入系統，如同進入無人之境。
這意味著，全球數千臺服務器正處于“中門大開”的狀態，隨時可能成為被攻擊的標靶。

攻擊者一旦利用默認端口控制了瀏覽器，那么它也會控制主機一切，此時用戶數據和隱私都將不復存在；若員工在生產環境中擅自部署此類高權限Agent，恐將造成泄密、核心業務停擺等后果。
一名從事網絡安全的人士向華爾街見聞指出，“從安全審計的角度看，OpenClaw的核心風險源于其權力過度集中的架構設計。作為一個AI代理系統，它建立了一條從聊天窗口到操作系統底層的直達管道，賦予了AI操作Shell、瀏覽器及本地文件的最高特權”。
在缺乏嚴密沙箱隔離的前提下，這種設計帶來了多種安全威脅。
例如“提示詞注入”，攻擊者無需通過傳統的網絡滲透，只需向AI可能讀取到的外部網頁、郵件中植入惡意提示詞，當Agent在自動化處理這些信息時，可能被指令洗腦。
此外，AI在理解模糊指令時可能產生偏差，在未經人工確認的情況下，可能誤刪系統核心文件、修改核心網絡路由。
硅谷一家初創公司CTO透露，其團隊因為一名實習生在本地裸跑了Agent，導致整個開發環境在一夜之間被“洗白”。
危機的種子，或許已埋藏在便利之中。

智能體安全上日程

危機從來都是商機的催化劑。
IBM發布的《2025年數據泄露成本報告》就直言，眾多企業為追求快速上馬，跳過了AI安全治理環節，導致這些缺乏監管的系統更易遭受攻擊，且一旦失陷會造成更為慘重的損失。這表明，AI正成為高價值的攻擊目標。

但事實上，大部分的企業對AI的風險問題的確還不夠重視。當應用速度超越安全與治理能力時，AI基本處于失控狀態。去年，拒絕支付贖金的勒索受害者比例（63%）高于2024年的59%。
事實上，OpenClaw帶來的安全焦慮，正在催生并加速一個百億級的新市場——Agent-Security（智能體安全）。

agent需要必不可少的“保險絲”和“穩壓器”。
咨詢公司TechNavio預測，2024-2029年全球生成式AI網絡安全市場呈現高速增長態勢，2024年市場規模達32.7億美元，預計2029年將增至148.8億美元，期間復合年增長率為35.4%。
眼下，全球已有多家網絡安全公司也火速出牌，包括微軟、CrowdStrike、Fortinet、Darktrace等。

國內的360已打造出一系列安全智能體以及安全大模型；奇安信則為政企機構推出了大模型安全評估服務。

此外深信服、啟明星辰、天融信等國內網安企業都推出了自家AI安全產品。
在業內看來，企業側會為“企業級Agent運行時環境”付費買的是“免責權”，一旦出事，有供應商兜底；

像OpenAI或Anthropic這樣的模型層廠商，正在成為安全公司的最大客戶。他們需要購買HiddenLayer或Lakera等安全初創公司的API服務，以過濾掉那些可能導致模型“越獄”或執行惡意代碼的提示詞。
自建桌面Agent用戶（DIY市場）則是一個巨大的長尾市場，但變現極難，畢竟極客們習慣了免費的開源代碼。

這里的商業機會或許不在于賣軟件，而在于“被管理的云環境”。

例如，Github Codespaces可能會推出“安全版OpenClaw托管服務”，個人開發者按小時付費。
為AI安全付費的另一面，是如何讓AI在“籠子”里跳舞。
近期，就有不少用戶反饋，在騰訊云、阿里云部署的OpenClaw，權限和功能已經被大幅“閹割”，之所以這么做，大概率是為了安全合規——怕用戶亂裝軟件、跑惡意代碼、占用資源。
但問題在于，為了安全，系統把運行時擴展、工具調用、自主執行等OpenClaw最核心能力全部砍掉后，用戶部署桌面agent的理由何在。
未來的安全不再是永遠說“不”，而是學會根據場景獲取授權或申請批準。

在此前“裸奔”的OpenClaw中，Agent擁有一把萬能鑰匙。云廠商需要從“一刀切”到“按需升權”，在保持默認零信任的同時，給了用戶根據具體任務動態下放權力的靈活性。
在業內看來，最極致的平衡是系統級的微隔離。以已被惠普收購的Bromium等技術為代表，未來的操作系統可能會為Agent的每一個任務生成一個微型虛擬機：
讓Agent打開一個Word文檔時，系統在后臺克隆了一個只包含這個Word文檔和Word進程的微型OS。

Agent在這個微型氣泡里折騰，無論它怎么亂搞，受影響的只有這一個文檔。在用戶你看到的是Agent流暢地完成了任務，完全感覺不到后臺已經生滅了數百個微型沙箱。
OpenClaw 讓我們看到了AI那雙強有力的“手”，也讓我們因為害怕被這雙手傷害而想要砍斷它。
誠然，安全的終極目標不是為了限制，而是為了解放。

正如剎車技術的進步是為了讓F1賽車敢于飆到300公里時速一樣，Agent安全市場的成熟，以及“語義審計”、“微隔離”等技術的落地，最終是為了讓企業敢于把核心業務邏輯放心地交給AI。
在這個百億級市場的黎明前夜，對于自建Agent的用戶和企業來說，即刻的痛苦是暫時的。

隨著安全層逐漸像空氣一樣融入基礎設施，人類終將迎來真正的“人機共生”時代——你的賈維斯依然全能，但它永遠無法背叛。