Transformer 論文作者重造龍蝦，告別 OpenClaw 裸奔漏洞

轉自 | 量子位元

有多少龍蝦在網路上裸奔？

AI 智能體帶著你的密碼和 API 金鑰暴露給全網。

Transformer 作者 Illia Polosukhin 看不下去了。 出手從零重構了安全版龍蝦：IronClaw。

IronClaw 目前已在 GitHub 上開源，提供 macOS、Linux和 Windows 的安裝包，支援本機部署，也支援透過雲端託管。 專案仍處於快速迭代階段，v0.15.0 版本的二進位已可下載。

Polosukhin（以下簡稱菠蘿哥）還在 Reddit 論壇上開貼回應一切，關注度頗高。

01 OpenClaw 火了，但也"著火"了

菠蘿哥本人也是 OpenClaw 的早期使用者，並稱這是他等了 20 年的技術。

然而 OpenClaw 的安全狀況堪稱災難，一鍵式遠端程式碼執行、提示注入攻擊、惡意技能竊取密碼，這些漏洞在 OpenClaw 的生態系統中被逐一曝光。

超過 25000 個公開實例在沒有充分安全控制的情況下暴露在互聯網上，被安全專家直接稱為“安全垃圾火災（security dumpster fire）”。

問題的根源在於架構本身。

當使用者將自己的郵箱 Bearer Token 交給 OpenClaw 時，會直接送入 LLM 提供者的伺服器。

菠蘿哥在 Reddit 上指出這意味著什麼：

他表示，再多的便利也不值得拿自己和家人的安全與隱私去冒險。

02 用Rust 從零重建一切

IronClaw 是用 Rust 語言對 OpenClaw 的完全重寫。

Rust 的記憶體安全特性能從根本上消除緩衝區溢位等傳統漏洞，這對於需要處理私鑰和使用者憑證的系統至關重要。

在安全性架構上，IronClaw 建立了四層縱深防禦。

第一層是 Rust 本身提供的記憶體安全保證。

第二層是 WASM 沙箱隔離，所有第三方工具和 AI 產生的程式碼都在獨立的 WebAssembly 容器中運行，即使某個工具是惡意的，其破壞範圍也被嚴格限制在沙箱之內。

第三層是加密憑證保險庫，所有 API 金鑰和密碼都使用 AES-256-GCM 加密存儲，每一張憑證都綁定了策略規則，規定它只能用於特定網域。

第四層是可信任執行環境（TEE），利用硬體層級的隔離保護數據，即使是雲端服務提供者也無法存取使用者的敏感資訊。

這套設計中最關鍵的一點是：

只有當智能體需要與外部服務通訊時，憑證才會在網路邊界被注入。

菠蘿哥舉了一個例子，即使大模型被提示注入攻擊，試圖將用戶的 Google OAuth 令牌發送給攻擊者，憑證儲存層也會直接拒絕這個請求，記錄日誌，並向用戶發出警報。

然而開發者社群還是不放心，畢竟 OpenClaw 有2000 多個公開實例被攻擊，以及存在大量惡意技能，IronClaw 一旦走紅會不會重蹈覆轍？

鳳梨哥的回應是，IronClaw 的架構設計已經從根本上堵住了 OpenClaw 的核心漏洞。 憑證始終加密儲存且從不接觸 LLM，第三方技能無法在主機上執行腳本，只能在容器內部運作。

即便透過 CLI 訪問，也需要使用者的系統鑰匙圈來解密，拿到的加密金鑰本身沒有意義。

他同時表示，隨著核心版本趨於穩定，團隊計劃進行紅隊測試和專業安全審查。

關於提示注入這個業界公認的難題，鳳梨哥給出了更詳細的思路。

目前 IronClaw 使用啟發式規則進行模式偵測，未來目標是部署一個可持續更新的小型語言分類器來識別注入模式。

但他也承認，提示注入不僅可能竊取憑證，還可能直接篡改使用者的程式碼庫或透過通訊工具發送惡意訊息。

應對這類攻擊需要一套更聰明的策略系統，能夠在不查看輸入內容的情況下審查智能體的行為意圖，"還需要更多工作，歡迎社區貢獻"。

有人問到本地部署和雲端部署的取捨。

菠蘿哥認為純本地方案有明顯侷限，設備關機時智能體就停止運作，行動端的能耗難以承受，複雜的長時間任務也無法運作。

他認為機密雲端（confidential cloud）是目前的最優折中方案，既能提供接近本地設備的隱私保障，又能解決「永遠在線」的問題。

他還提到一個細節：使用者可以設定策略，例如在跨境旅行時自動添加額外的安全屏障，防止未經授權的存取。

03 一個更大的野心

鳳梨哥並非普通的開源開發者。

2017 年，他作為八位共同作者之一發表了“Attention Is All You Need”，其中提出的 Transformer 架構奠定了當今所有大語言模型的基礎。

雖然在署名中他排最後，但論文中有一條腳註寫著“Equal contribution. Listing order is random.”排名純屬隨機。

但同年他從谷歌離職，創立 NEAR Protocol，致力於將 AI 與區塊鏈技術融合。

IronClaw 背後是 NEAR Protocol 一個更大的策略構想：使用者自有 AI（User-Owned AI）。

在這個願景中，使用者完全掌控自己的資料和資產，AI 智能體在可信任環境中取代使用者執行任務。

NEAR 已經為此搭建了 AI 雲端平台和去中心化 GPU 市場等基礎設施，IronClaw 是這套體系的執行時間層。

菠蘿哥甚至開發了一個智能體互相僱用的市場。

在 NEAR的 market.near.ai 上，使用者可以將自己專業化的智能體註冊上線，隨著智能體累積聲譽，它將獲得更多高價值的任務。

當被問到一般人未來五年如何適應 AI 時代時，鳳梨哥的建議是盡快採用 AI 智能體的工作方式，學會將完整的工作流程交給它自動化處理。

他的這種判斷並非近期才突然產生。

早在 2017 年創立 NEAR AI 時，菠蘿哥就在告訴所有人"未來你只需要和電腦對話，不再需要寫代碼"。

當時人們覺得他們瘋了，是在說胡話。

九年過去了，這件事正在變成現實。

"AI 智能體是人類與線上一切互動的終極介面，"Polosukhin 寫道，"但讓我們把它做得安全。"

---

GitHub 地址：

https://github.com/nearai/ironclaw

參考連結： https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/