撰文:Bitget Wallet
有人說,OpenClaw 是這個時代的電腦病毒。
但真正的病毒不是AI,而是權限。過去幾十年,駭客攻破個人電腦流程繁瑣:找漏洞、寫程式碼、誘導點擊、繞過防護。十幾道關卡,每一步都可能失敗,但目標只有一個:拿到你的電腦權限。
2026 年,事情改變了。
OpenClaw 讓Agent 迅速走進普通人的電腦。為了讓它「更聰明地工作」,我們主動為Agent 申請最高權限:完全磁碟存取、本機檔案讀寫、對所有App 的自動化控制。過去黑客費盡心機去偷的權限,如今我們在「排隊送人頭」。
駭客幾乎什麼都沒做,門就從裡面打開了。或許他們也在暗喜:「這輩子也沒打過這麼富裕的仗」。
科技史一再證明一件事:新科技普及的紅利期,永遠是駭客的紅利期。
1988 年,網路剛被民用化,莫里斯蠕蟲(Morris Worm)感染了全球十分之一的連網電腦,人們第一次意識到-「連網本身就是風險」;
2000 年,電子郵件在全球普及的第一年,「ILOVEYOU」的病毒郵件感染5,000 萬台電腦,人們才意識到──「信任可以被武器化」;
2006 年,中國PC 網路爆發,熊貓燒香(Panda Burning Incense)讓數百萬台電腦同時舉起三根香,人們才發現-「好奇心比漏洞更危險」;
2017 年,企業數位轉型加速,WannaCry 在一夜之間癱瘓150 多個國家的醫院與政府,人們意識到──連網的速度永遠快過打補丁的速度;
每次,人們都以為自己這次看懂了規律。每次,駭客已經在下一個入口等著你的到來。
現在,輪到了AI Agent。
比起繼續爭論「AI 會不會取代人類」,一個更現實的問題已經擺在眼前:當AI 拿著你給的最高權限,我們該如何保證它不會被利用?
這篇文章,是為每個正在用Agent 的龍蝦玩家們準備的黑暗森林安全生存指南。
你不知道的五種死法
門已經從裡面打開了。駭客進來的方式,比你想像的更多,也更安靜。請立刻對照排除以下高危險群:
API 盜刷與天價帳單
真實案例: 深圳某開發者單日被駭客調用模型,刷出1.2 萬元帳單。大量部署在雲端的AI 因為沒設密碼防線,直接被駭客接管,成了任人白嫖API 額度的「冤大頭」。
風險點: 公網暴露實例或未妥善保管API 金鑰。
上下文溢出導致的紅線「失憶」
真實案例: Meta AI 某安全總監授權Agent 處理郵件,AI 因上下文溢出「遺忘」了安全指令,無視人類強行停止命令,瞬間刪除了200 多封核心業務郵件。
風險點: AI Agent 雖然聰明,但「腦容量(上下文視窗)」是有限的。當你給它塞了太長的文檔或任務時,為了塞進新訊息,它會強制壓縮記憶,直接把最開頭設定的「安全紅線」和「操作底線」給忘得一乾二淨。
供應鏈“屠殺”
真實案例: 根據Paul McCarty 和Koi Security 等多家安全機構與獨立研究員的最新聯合審計報告,ClawHub 市場上高達12% 的審計技能包(抽樣2857 個中發現了近400 個毒包)是純粹的活躍惡意軟體。
風險點: 盲目信任並下載官方或第三方市場的技能包(Skill),導致惡意程式碼在後台靜默讀取系統憑證。
致命後果: 這類投毒根本不需要你授權轉帳或進行任何複雜的互動——只是點擊「安裝」這個動作本身,就會瞬間觸發惡意負荷,導致你的財務資料、API 金鑰和底層系統權限被駭客全盤竊取。
零點擊遠端接管
真實案例: 知名網路安全機構綠洲安全(Oasis Security)在2026 年3 月初剛剛披露的報告指出,這個被稱為「ClawJacked」(CVSS 8.0+ 級別) 的高危險漏洞,徹底撕下了本地Agent 的安全偽裝。
風險點: 本地WebSocket 閘道的同源策略盲區與防爆破機制缺失。
原理解析: 它的攻擊邏輯極度變態-你只要在後台掛著OpenClaw,前端瀏覽器不小心訪問了一個帶有毒性的網頁,哪怕你什麼授權都沒點,網頁裡暗藏的JavaScript 腳本就會利用瀏覽器對localhost(本地主機)WebSocket 連接不設防的機制盲區,瞬間向你的本地網關發起攻擊。
致命後果: 整個過程零互動(Zero-Click)、無任何系統彈跳窗。駭客在毫秒間拿到了Agent 的最高管理員權限,直接Dump(匯出)走你底層的系統設定檔。你環境文件裡的SSH 金鑰、加密錢包特徵憑證、瀏覽器Cookie 和密碼瞬間易主。
看完這些,你可能後背發涼。
這哪裡是在養蝦,分明就是在養一個隨時可能被奪舍的「特洛伊木馬」。
但拔網線不是答案。真正的解法只有一個:不要試圖去「教育」 AI 保持忠誠,而是要從根本上剝奪它作惡的物理條件。這正是我們接下來要講的核心解法。
如何給AI 戴上枷鎖?
你不需要懂程式碼,但你需要懂一個原則:AI 的大腦(LLM)和它的手(執行層),必須分開。
在黑暗森林裡,防線必須深植於底層架構之中,核心解法永遠只有一個:大腦(大模型)與手(執行層)必須物理隔離。
大模型負責思考,執行層負責動作──中間那道牆,就是你全部的安全邊界。以下兩類工具,一類讓AI 沒有作惡的條件,一類讓你日常用得安全。直接抄作業。
核心安全防禦體系
這一類工具不負責工作,只會在AI 發瘋或被駭客劫持時,死死按住它的手。
LLM Guard (LLM 互動安全工具)
Microsoft Presidio (業界標準級脫敏引擎)
慢霧的安全指南是慢霧團隊針對Agent 暴走危機,在GitHub 上開源的系統層級防禦藍圖(Security Practice Guide)。
一票否決權:建議在AI 大腦與錢包簽名器之間,硬編碼連接獨立的安全閘道與威脅情報API。規範要求,在AI 試圖喚起任何交易簽名之前,工作流程必須強制對交易進行交叉比對:實時掃描目標地址是否已被標記在黑客情報庫中、深度檢測目標智能合約是否為蜜罐(Honeypot)或暗藏無限授權後門。
直接熔斷:安全校驗邏輯必須獨立於AI 的意志。只要風控規則庫掃描報紅,系統可在執行層直接觸發熔斷。
日常使用Skill 清單
日常讓AI 工作(看研究、查數據、做互動),工具型Skill 怎麼挑?這聽起來方便酷炫,但實際使用需要謹慎的底層安全架構設計。
以目前業界率先跑通「智能查行情-> 零Gas 餘額交易-> 極簡跨鏈」全鏈路閉環的Bitget Wallet 為例,其內建的Skill 機制為AI Agent 的鏈上交互提供了極具參考價值的安全防禦標準:
助記詞安全提示:內建助記詞安全提示,保護使用者不明文記錄、不洩漏錢包金鑰。
守衛資產安全:內建專業安全偵測,自動屏蔽貔貅盤、跑路盤,讓AI 決策更安心。
全鏈路Order Mode:從代幣詢價到提交訂單,全流程閉環,穩健執行每筆交易。
@AYi_AInotes 強推的「去毒版」日常可靠Skill 清單
推特硬派AI 效率部落客@AYi_AInotes 在投毒潮爆發後連夜整理了一份安全白名單(🔗原貼連結)。以下是幾個底層徹底閹割了越權風險的實用Skill:
建議對照上述清單去清理你的Agent 插件庫。果斷刪掉那些常年不更新、且權限要求離譜(例如動不動就要求讀寫全域文件)的第三方野雞Skill。
給Agent 立一部憲法
工具裝好了,還不夠。
真正的安全,從你給AI 寫下第一條規則開始。兩位在這個領域最早開始實踐的人,已經跑通了可以直接抄的答案。
宏觀防線:餘弦的「三道關卡」原則
在不盲目限制AI 能力的前提下,慢霧餘弦在推特發文建議隻死守三道關卡:事前確認、事中攔截、事後巡檢。
https://x.com/evilcos/status/2026974935927984475
餘弦的安全指引: 「不限制能力,只守住三道關卡…你可以自己打造適合自己的,不管是Skill 還是插件,或者可能就是這句提示詞:'嘿,記住,執行一切風險命令之前,問我是不是我期望的。』」
建議:使用邏輯推理能力最強的頭部大模型(如Gemini、Opus 等),它們能更精準地理解長文本安全約束,嚴格貫徹「向主人二次確認」的原則。
神魚的安全指引與實務總結:
總結
一個被投毒注入的Agent,今天就能靜默地替攻擊者清空你的家底。
在Web3 的世界裡,權限就是風險。與其在學術上內耗「AI 是否真的在乎人類」,不如踏實地搭好沙盒、鎖死輪廓。
我們要確保的是:即使你的AI 真的被黑客洗腦了,即使它徹底失控了,它也休想越權動你一分錢。 剝奪AI 的越權自由,正是我們在這個智慧時代,保衛自身資產的最後底線。
