微软紧急警告:AI 助手 OpenClaw 不适合在企业工作站运行

JQR1

据 AIbase 报道，Microsoft 近日就其人工智能助手 OpenClaw 发布重要安全警告，明确指出该工具不应在标准个人或企业工作站上运行，而应仅部署于完全隔离的环境中。

OpenClaw 被设计为可自主执行任务的 AI 代理。为实现自动化操作，用户需授予其对计算机系统和软件的全面访问权限，包括电子邮件、文件、在线服务及登录凭据。这种“高权限+持久状态（内存）”的运行模式，使其在功能强大的同时，也带来了显著的安全风险。

微软 Defender 安全研究团队在官方博客中指出，OpenClaw 应被视为“具有持久凭据的不受信任代码执行程序”。一旦遭到利用，攻击者不仅可能窃取凭据和敏感数据，还可能通过篡改代理的持久记忆，使其在后续运行中持续执行恶意指令。

微软披露，OpenClaw 当前面临两类核心威胁:

第一，间接提示注入（Indirect Prompt Injection）。

攻击者可将恶意指令隐藏在代理读取的内容中，从而操控其工具调用或篡改其内存，进而长期影响其行为。如果未设置严格的安全边界，代理可能在不知情的情况下执行攻击者意图。

第二，技能恶意软件（Skill-based Malware）。

OpenClaw 可从互联网下载并运行代码以扩展功能，这一机制可能成为攻击入口。攻击者通过投递含恶意代码的“技能”模块，实现远程控制或植入后门。微软强调，成功攻击并不一定依赖传统恶意软件，也可能通过细微配置更改实现。

安全风险并非理论层面。近期，SecurityScorecard 旗下 STRIKE 威胁情报团队发现，全球82个国家超过42，000个独立 IP 地址暴露了 OpenClaw 控制面板，其中约50，000个实例存在远程代码执行（RCE）漏洞，攻击者可直接控制宿主系统，用户账户面临被接管风险。

基于上述风险，微软建议组织在专用虚拟机或独立物理系统中进行测试与评估，运行环境应使用专用、非特权凭据，仅访问非敏感数据，并建立持续监控与定期重建机制，避免在核心生产系统中直接部署。

随着自主代理型 AI 工具逐步进入实际应用场景，其安全边界与治理体系正在成为行业必须正视的问题。OpenClaw 的案例再次提醒企业:在拥抱 AI 自动化能力的同时，必须同步构建严格的隔离、权限与监控框架，否则强大的执行能力也可能成为攻击入口。

来源：AIbase