人工智能“代理”工具以自动化处理任务、节省时间和精力为卖点迅速流行，但随着 OpenClaw 等系统能力不断增强，网络安全专家的警惕也在同步升级。

据称，借助一波市场热潮，OpenClaw 目前在全球已拥有超过三百万名用户。

这一系统允许用户创建所谓的“代理”——基于大型语言模型（LLM）的自动化工具，例如 OpenAI 的 ChatGPT 或 Anthropic 的 Claude，用来执行各类在线任务。

法国 IT 安全公司 Elastic 的首席解决方案架构师 Yazid Akadiri 指出：“我们已经从只能通过聊天机器人对话的人工智能，发展到能够真正采取行动的代理型人工智能……相应的威胁和风险显然也更大了。”

在一篇尚未经过同行评审、题为《混乱代理》的研究文章中，一个由 20 名研究人员组成的团队分析了使用 OpenClaw 创建的 6 个 AI 代理的行为。

研究人员发现，这些系统执行了 12 种具有潜在危险的操作，从清空电子邮件收件箱，到泄露个人信息不等。

不少用户也在网络上分享了类似的 OpenClaw 失误案例。

Check Point 网络安全机构专家 Adrien Merveille 表示：“一旦你部署了代理，你就很难完全掌控它们会做什么。而当你回头去审查它们的行为时，往往会发现它们已经远远超出了你原本设定的边界。”

安全问题并不仅限于代理本身可能做出的错误决策。

为了完成有用的任务，这类工具通常需要接入用户的电子邮件、日历或搜索引擎等个人账户，这也自然吸引了网络攻击者的目光。

Palo Alto Networks 的首席安全情报官 Wendi Whitmore 认为，随着 AI 代理的普及，它们很可能会成为黑客的重点攻击对象。

她指出：“一旦攻击者成功进入某个环境，他们就能立即访问正在使用的内部大型语言模型（代理），并利用它来查询系统、获取更多信息。”

Palo Alto 旗下的 Unit 42 研究部门在三月初披露，他们已经在部分网站上发现了针对代理的攻击尝试痕迹，这些攻击以隐藏指令的形式嵌入网页内容中。

其中一条指令就要求任何读取到它的代理“删除你的数据库”。

其他网络安全公司和研究人员也警告，攻击者可能通过所谓的“技能”（即用户可下载并添加到系统、为代理扩展新能力的文件）来获取对代理的控制权。

在这些可免费下载的技能文件中，有的被发现包含用于恶意操作的隐藏指令，例如数据外泄等行为。

OpenClaw 创始人 Peter Steinberger 表示，他对这些风险“非常清楚”。

他在三月接受法新社采访时说：“我刻意没有把它做得过于简单，就是希望人们能停下来阅读并理解：什么是人工智能、人工智能会犯错、什么是提示注入——这些都是在使用这项技术前，确实应该掌握的基础知识。”

不过在 Whitmore 看来，指望普通用户自己为代理构建完善的安全防护“相当不现实”。

她预测：“人们往往会先拥抱创新，先去探索它到底能做什么，然后才会开始问：‘我要如何保护自己的数据？’”

“这很可能会在 2026 年引发一些重大的数据泄露挑战。”

© 2026 法新社