用Rust重寫OpenClaw，Transformer作者下場造了安全版「龍蝦」

編輯｜杜偉

面對 OpenClaw（龍蝦）可能存在的「惡意利用用戶數據和資金」的重大風險，Transformer 八子之一 Illia Polosukhin 出手了。

今天，Illia Polosukhin 在 Reddit 上發了一則帖子，深談了其使用 Rust 來構建安全版 OpenClaw 的心路歷程，引起了熱議。

以下為帖子全文（第一人稱）：

當 OpenClaw 剛發布時，我感到非常興奮。這感覺像是我等待了 20 年的技術。14 歲時，我在準備編程競賽訓練的時候，第一次產生了一個問題：為什么計算機不能自己寫這些代碼？后來我進入大學學習機器學習，在 Google 從事自然語言研究工作，共同撰寫了《Attention Is All You Need》，并創立了 NEAR。

在這些經歷中，我一直在思考并努力推動這個想法的實現。現在，它真的出現了，而且非常驚人。它已經改變了我與計算機交互的方式。

擁有一個可以代表你行動的個人 AI 智能體是件很棒的事情。但不太妙的是，這件事目前極其不安全，你實際上是在把整臺機器的完全訪問權限交給它。或者你得專門搭建一臺新的機器來運行它，這既耗時間也耗錢。

你的 Claw 很可能會泄露你的憑證和數據，被提示詞注入攻擊，甚至可能讓你的資金被第三方竊取，這是一個非常現實的風險。

我不希望這種事發生在我身上。也許我比大多數人更重視隱私，但再多的便利也不值得拿我自己或家人的安全和隱私去冒險。所以我決定構建 IronClaw，目前在 GitHub 上已經標星 4.6k。

IronClaw 有哪些不同

它是一個面向 AI 智能體的開源運行時環境，從設計之初就以安全為核心，并使用 Rust 編寫。代碼清晰、可審計，也適合企業環境使用。和 OpenClaw 一樣，它可以隨著時間不斷學習，并擴展你能夠讓它完成的事情。如下為IronClaw 的架構圖

核心組件包括如下：Agent Loop 智能體主循環，負責整體任務調度；Router 用戶意圖路由層；Scheduler 并行任務調度器；Worker 執行單元（調用模型與工具完成任務）；Orchestrator 運行編排層（容器、權限、LLM 調用）；Web GatewayWeb 交互入口；Routines Engine 自動化任務引擎；Workspace 長期記憶與檢索層；Safety Layer 安全防護層。

但是，為了確保安全，IronClaw 做出了一些關鍵改變：

• 從直接操作文件系統，轉向使用數據庫，并通過明確的策略控制數據如何被使用；
• 通過 WASM 實現動態工具加載，并在沙箱中按需構建工具和執行自定義代碼。這保證了第三方代碼或 AI 生成代碼始終在隔離環境中運行；
• 防止憑證泄露和內存數據外流，所有憑證都會完全加密存儲，并且永遠不會接觸到 LLM 或日志。每個憑證都附帶策略，用來驗證它們是否被用于正確的目標；
• 防御提示詞注入攻擊，目前從較簡單的啟發式方法開始，但目標是逐步引入可持續更新的小模型來負責檢測；
• 數據庫存儲的記憶系統，并結合混合搜索：BM25 和向量搜索。這樣可以避免對整個文件系統造成破壞，因為訪問被虛擬化并與操作系統抽象隔離；
• Heartbeats 與 Routines 功能，可以定期發送每日總結或更新，設計上更適合普通用戶，而不是只服務于熟悉 cron 的開發者
• 支持 Web、CLI、Telegram、Slack、WhatsApp、Discord 等渠道，未來還會繼續增加。

未來，IronClaw 還計劃增加以下能力：

• 策略驗證：用戶可以為智能體附加行為策略，以確保通信和行動符合預期，避免出現不可預料的行為；
• 審計日志：當事情出問題時，可以追溯原因。目前正在把它從簡單日志升級為一種不可篡改的系統。

為什么要做這件事

舉個例子，如果你讓 OpenClaw 訪問你的郵箱，那么你的 Bearer Token 就會被傳遞給你的 LLM 服務提供商，并存儲在他們的數據庫中。這意味著，你的所有信息，甚至包括你沒有明確授權訪問的數據，理論上都可能被那里的人訪問到。這同樣適用于你公司的數據。問題不在于是否惡意，而是現實情況是：用戶其實并沒有真正的隱私保護。如果有人想獲取這些極其敏感的數據，并不是一件很困難的事情。

OpenClaw 框架本身是一個改變游戲規則的技術。我也真心相信，AI 智能體將成為我們在互聯網上進行一切活動的最終接口。但在此之前，我們必須先把它變得安全。

在評論區，Illia Polosukhin 回復了網友關于 IronClaw 的更多問題，比如「OpenClaw 被曝光有 2.1 萬多個公開實例，還有惡意 skills。一旦 IronClaw 走紅，怎么能保證它不會遭遇同樣的命運？」

對此，他表示，「我們已經在做并且將繼續實現一系列安全防護措施。所有憑證都會被加密存儲，并且永遠不會接觸到 LLM，因此 skills 無法把這些憑證竊取出去。skills 也無法在主機上直接運行腳本，它們只能在容器內部運行。隨著核心系統逐漸穩定，我們還計劃進行紅隊測試以及完整的安全審查。」

更多細節請查閱原項目：

項目地址：https://github.com/nearai/ironclaw

Reddit原貼地址：https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/