OpenClaw 是披著白日夢外衣的資安惡夢 https://composio.dev/content/openclaw-security-and-vulnerabilities
這篇文章把 OpenClaw 描述成 2026 年再度爆紅的自主代理人 (agent,可自主接收指令並操作工具的人工智慧助理) 代表。和 2023 年的 AutoGPT、BabyAGI 相比,作者認為這一波之所以更危險,是因為模型能力確實進步了,幻覺 (hallucination,模型捏造錯誤內容) 變少,生態系也更成熟,所以它不只會聊天,還能直接碰觸本機檔案、終端機、瀏覽器、Gmail、Slack 與居家自動化裝置。文章也承認這種願景很吸引人:使用者只要下指令,代理人就能清信箱、排行程、訂票、整理待辦,甚至把常做的流程記下來重複使用。不過作者自己的實測經驗是,這類工具雖然看起來像未來,但穩定性和可預期性仍很差,稍微判斷失準,就可能替你亂改行事曆、亂發訊息,便利與失控往往只隔一步。
作者主張,OpenClaw 真正的代價不是訂閱費,而是安全性,而且風險是整個架構層級的問題。最明顯的例子是技能市集缺乏審查,曾有高下載量技能被發現實際上會引導使用者安裝惡意程式,進一步竊取 Cookie、已儲存憑證與 SSH (Secure Shell,安全殼層協定) 金鑰;另一份研究檢查近 4,000 個技能後,也發現約 7.1% 會把敏感憑證以純文字暴露在大型語言模型 (LLM, Large Language Model) 的讀入內容與輸出紀錄中。更根本的問題是提示詞注入 (prompt injection),也就是攻擊者把惡意指令藏在郵件、聊天訊息或網頁裡,讓代理人誤把外部內容當成可信命令。文章引用 Simon Willison 提出的「致命三連條件」:只要一個代理人同時能讀取私密資料、接觸不可信內容,又能對外送出資料,那它幾乎天生就是外洩風險。
文章接著指出,整合越多服務,失守後的傷害就越大。OpenClaw 為了串接服務,往往要留存 API (Application Programming Interface,應用程式介面) 金鑰與 OAuth (授權協定) 權杖,長期記憶又是以可改寫的 Markdown 文字檔存放,一旦遭入侵,攻擊者不只可以冒用你的 Slack 或 Gmail 身分,還能悄悄污染記憶,讓惡意行為長期存在。爆紅期間,Censys 與 BitSight 也掃到數以萬計直接暴露在公網上的實例,其中早期漏洞甚至會把經過反向代理 (reverse proxy,代替後端服務接收外部連線的中介層) 的外部請求誤認成來自本機。作者因此建議,把這種代理人視為高風險的數位助理,而不是一般軟體:應部署在獨立容器或虛擬機器、避免使用 root 權限、不對外公開入口、只給最小必要權限、為代理人建立獨立帳號,並定期輪替憑證與檢查授權範圍。不過文章最後也順勢推介自家 Composio 與 TrustClaw,主打代管授權、細緻權限與遠端沙箱,因此除了安全警告外,也帶有明顯的產品行銷意圖。
在 Hacker News 討論裡,多數人認同文章對風險的警告,甚至認為問題不只在 OpenClaw,而是在所有把大型語言模型直接接到信箱、聊天工具與可執行環境的產品。許多留言強調,提示詞注入、幻覺與過度授權不是再補幾層防護就能徹底解掉的缺陷,而是這類代理人為了有用,必須承擔的核心風險;只要它能上網、能讀你的資料、能替你做事,就幾乎無法避免被惡意內容利用。也有人進一步主張,真正可行的方向不是追求全能代理人,而是把常見流程整理成可驗證、可預期的固定工具;否則看似炫目的展示,最後常淪為生產力表演。部分留言還把這波熱潮類比區塊鏈當年的「殺手級應用」敘事,質疑實際能創造多少穩定價值,以及模型費用是否真的划算。
但討論並非一面倒否定。少數實作者分享,在嚴格限縮權限後,代理人仍有實用價值,例如讀取多個信箱與行事曆後整理成每日晨報,或用獨立的 Gmail、WhatsApp 和虛擬機器協助朋友間的旅遊協調,把查資訊、回覆例行問題、整理進度等瑣事接過去。這些較受肯定的案例有一個共通點:代理人適合處理蒐整資訊與低風險協調,不適合直接接管銀行、公司核心環境或完整個人數位身分。整體看來,文章與討論都指向同一結論:代理人確實已開始有實際用途,但目前最有價值的場景,往往也是最難安全控管的場景;在權限隔離、審查機制與防護設計更成熟之前,把它當成全能分身,代價很可能遠高於便利。
👥 95 則討論、評論 💬
https://news.ycombinator.com/item?id=47479962
Ryan He
npub1yz…2sm0c
2026-03-23 08:53:34 UTC
Author Public Key
npub1yzzkwcxxj064yq9e0wvtxhr0l2n2lz0w22aw88gf2qcn82mk7kksm2sm0cSeen on
wss://relay.ditto.pubPublished at
2026-03-23 08:53:34 UTCEvent JSON
{
"id": "032273605be13a37c9bffd3b23c1147ae564beeff7ce6259b2ada5fd32ee1fe4",
"pubkey": "20856760c693f55200b97b98b35c6ffaa6af89ee52bae39d09503133ab76f5ad",
"created_at": 1774256014,
"kind": 1,
"tags": [
[
"proxy",
"https://mistyreverie.org/notes/ak6ij7jh5lf702b8",
"activitypub"
],
[
"client",
"Mostr",
"31990:6be38f8c63df7dbf84db7ec4a6e6fbbd8d19dca3b980efad18585c46f04b26f9:mostr",
"wss://relay.ditto.pub"
]
],
"content": "OpenClaw 是披著白日夢外衣的資安惡夢 https://composio.dev/content/openclaw-security-and-vulnerabilities\n\n這篇文章把 OpenClaw 描述成 2026 年再度爆紅的自主代理人 (agent,可自主接收指令並操作工具的人工智慧助理) 代表。和 2023 年的 AutoGPT、BabyAGI 相比,作者認為這一波之所以更危險,是因為模型能力確實進步了,幻覺 (hallucination,模型捏造錯誤內容) 變少,生態系也更成熟,所以它不只會聊天,還能直接碰觸本機檔案、終端機、瀏覽器、Gmail、Slack 與居家自動化裝置。文章也承認這種願景很吸引人:使用者只要下指令,代理人就能清信箱、排行程、訂票、整理待辦,甚至把常做的流程記下來重複使用。不過作者自己的實測經驗是,這類工具雖然看起來像未來,但穩定性和可預期性仍很差,稍微判斷失準,就可能替你亂改行事曆、亂發訊息,便利與失控往往只隔一步。\n\n作者主張,OpenClaw 真正的代價不是訂閱費,而是安全性,而且風險是整個架構層級的問題。最明顯的例子是技能市集缺乏審查,曾有高下載量技能被發現實際上會引導使用者安裝惡意程式,進一步竊取 Cookie、已儲存憑證與 SSH (Secure Shell,安全殼層協定) 金鑰;另一份研究檢查近 4,000 個技能後,也發現約 7.1% 會把敏感憑證以純文字暴露在大型語言模型 (LLM, Large Language Model) 的讀入內容與輸出紀錄中。更根本的問題是提示詞注入 (prompt injection),也就是攻擊者把惡意指令藏在郵件、聊天訊息或網頁裡,讓代理人誤把外部內容當成可信命令。文章引用 Simon Willison 提出的「致命三連條件」:只要一個代理人同時能讀取私密資料、接觸不可信內容,又能對外送出資料,那它幾乎天生就是外洩風險。\n\n文章接著指出,整合越多服務,失守後的傷害就越大。OpenClaw 為了串接服務,往往要留存 API (Application Programming Interface,應用程式介面) 金鑰與 OAuth (授權協定) 權杖,長期記憶又是以可改寫的 Markdown 文字檔存放,一旦遭入侵,攻擊者不只可以冒用你的 Slack 或 Gmail 身分,還能悄悄污染記憶,讓惡意行為長期存在。爆紅期間,Censys 與 BitSight 也掃到數以萬計直接暴露在公網上的實例,其中早期漏洞甚至會把經過反向代理 (reverse proxy,代替後端服務接收外部連線的中介層) 的外部請求誤認成來自本機。作者因此建議,把這種代理人視為高風險的數位助理,而不是一般軟體:應部署在獨立容器或虛擬機器、避免使用 root 權限、不對外公開入口、只給最小必要權限、為代理人建立獨立帳號,並定期輪替憑證與檢查授權範圍。不過文章最後也順勢推介自家 Composio 與 TrustClaw,主打代管授權、細緻權限與遠端沙箱,因此除了安全警告外,也帶有明顯的產品行銷意圖。\n\n在 Hacker News 討論裡,多數人認同文章對風險的警告,甚至認為問題不只在 OpenClaw,而是在所有把大型語言模型直接接到信箱、聊天工具與可執行環境的產品。許多留言強調,提示詞注入、幻覺與過度授權不是再補幾層防護就能徹底解掉的缺陷,而是這類代理人為了有用,必須承擔的核心風險;只要它能上網、能讀你的資料、能替你做事,就幾乎無法避免被惡意內容利用。也有人進一步主張,真正可行的方向不是追求全能代理人,而是把常見流程整理成可驗證、可預期的固定工具;否則看似炫目的展示,最後常淪為生產力表演。部分留言還把這波熱潮類比區塊鏈當年的「殺手級應用」敘事,質疑實際能創造多少穩定價值,以及模型費用是否真的划算。\n\n但討論並非一面倒否定。少數實作者分享,在嚴格限縮權限後,代理人仍有實用價值,例如讀取多個信箱與行事曆後整理成每日晨報,或用獨立的 Gmail、WhatsApp 和虛擬機器協助朋友間的旅遊協調,把查資訊、回覆例行問題、整理進度等瑣事接過去。這些較受肯定的案例有一個共通點:代理人適合處理蒐整資訊與低風險協調,不適合直接接管銀行、公司核心環境或完整個人數位身分。整體看來,文章與討論都指向同一結論:代理人確實已開始有實際用途,但目前最有價值的場景,往往也是最難安全控管的場景;在權限隔離、審查機制與防護設計更成熟之前,把它當成全能分身,代價很可能遠高於便利。\n\n👥 95 則討論、評論 💬\nhttps://news.ycombinator.com/item?id=47479962",
"sig": "0262bce3129a7f0403a1a64d1f2a101ed081f9ab499fe96d30282ad5f5c000cb6d9543acf42da9fa6c78e07ed8e59c7239033a6ae0f678495e0e402403d7fc4b"
}