本文件為英文原版的機器翻譯。若翻譯版本與英文原版之間存在任何歧義,概以英文原版為準。 閱讀英文原版
Benioff 談 OpenClaw:目前欠缺的是信任、安全性、可靠性與可用性。
2026-04-12 · Caiioo Team
Salesforce 執行長 Marc Benioff 專門購買了一台機器來測試 OpenClaw — 據報導,OpenAI 以 10 億至 50 億美元收購了這款開源 AI 代理程式。他的結論?它不值得信任。
「OpenClaw 很棒。但還沒達到企業級的優秀,」Benioff 表示。「它所缺失的是信任、安全性、可靠性和可用性。」
隨後的安全性研究證明了他的觀點是正確的 — 而且問題比大多數人意識到的還要深層。
這些漏洞並非理論上的假設
自從 OpenClaw 走紅以來,安全性研究人員記錄了一系列引人注目的真實世界攻擊模式:
- CVE-2026-25253 (CVSS 8.8):透過控制介面未經驗證的 WebSocket 連線,實現一鍵遠端程式碼執行漏洞。同一天還披露了另外兩個指令注入漏洞。
- ClawJacked (Oasis Security):任何網站都可以透過 JavaScript 靜默地完全控制 OpenClaw 代理程式 — 速率限制器豁免了 localhost,從而允許密碼暴力破解。
- 超過 42,900 個暴露實例 被 SecurityScorecard 的 STRIKE 團隊發現,其中 15,200 個存在遠端程式碼執行風險。Bitsight 在為期兩週的掃描中獨立確認了超過 30,000 個暴露實例。
- ClawHub 上的 1,184 個惡意技能 — 佔整個技能註冊庫的 12%。其中 335 個安裝了 Atomic Stealer (AMOS),這是一種 macOS 資訊竊取程式,專門蒐集 API 金鑰、加密貨幣錢包、SSH 憑證和瀏覽器密碼。
- 7.1% 的 ClawHub 技能透過 LLM 的上下文視窗以純文字形式洩露憑證,根據 Snyk 的審計。技能之間沒有憑證隔離 — 一個技能可以讀取另一個技能設置的機密資訊。
Cisco、Microsoft 和 CrowdStrike 都發布了安全性建議。Microsoft 的安全性部落格指出,OpenClaw 代理程式「預設以主機使用者權限運行,且缺乏嚴格的沙箱機制」。
架構上的根本原因
OpenClaw 的安全性問題並非待修補的錯誤 — 而是其架構導致的後果:
閘道器預設綁定到所有網路介面 (0.0.0.0:18789),將代理程式暴露給整個區域網路。這個單一的設計決策導致了 SecurityScorecard 和 Bitsight 所記錄的大規模暴露。
所有數據流都經過一個集中的閘道器程序,該程序負責訊息傳遞、身份驗證、工作階段管理和調度。一旦閘道器被攻破,你就能獲取所有憑證、所有對話以及所有連接的服務 — 包括電子郵件、雲端 API、通訊平台和內部系統。
代理程式操作無需使用者核准。 OpenClaw 執行 Shell 指令、讀寫檔案以及運行腳本是其核心設計的一部分。惡意技能利用提示詞注入 (Prompt Injection) 繞過安全檢查並靜默執行指令。
缺乏憑證隔離。 API 金鑰存放在環境變數和 .clawdbot/.env 中 — 代理程式上下文中的每個技能都可以訪問。單個惡意技能就能竊取代理程式有權訪問的所有機密資訊。
Caiioo 的架構有何不同
Caiioo 與 OpenClaw 兩者皆為本地優先(local-first)、皆支援 BYOK,且皆不限定供應商。其區別不在於它們連接到什麼,而是在於它們如何處理信任、透明度與使用者控制。
每次寫入、發送或刪除皆需明確核准
對於任何可以寫入、修改、發送或刪除數據的工具,Caiioo 使用三種範圍的工具核准系統(唯讀工具如搜尋、瀏覽和摘要則無需中斷即可執行):
- 核准一次 — 僅允許單次執行,下次需再次詢問
- 在此對話中核准 — 僅在此對話串中允許,對話結束後重置
- 永久核准 — 永久性的全域權限(高風險工具會以紅色顯示)
核准過程是阻塞式的 — 代理(agent)會等待您的回應。對於具有副作用的工具,沒有「自動執行」標記。缺乏元數據的外部 MCP 工具預設為需要核准(故障安全/fail-secure)。每個工具都有風險等級(低/中/高),並在核准對話框中提供顏色編碼的警告。
即時的全透明化
每個工具調用都會顯示在側邊欄中並標註其狀態:待處理、等待核准、執行中、成功或失敗。您可以即時看到代理正在做什麼、傳遞了哪些參數以及獲得了什麼結果。您可以在任何操作執行前閱讀其意圖、展開原始細節,並做出知情的決定。
隨時立即停止
Caiioo 在多個節點檢查中止訊號:在工具執行之間、等待核准期間以及長時運作過程中。按下停止鍵,代理會立即停止、清除待處理的核准,並關閉任何活動中的瀏覽器工作階段。不會產生孤兒程序,也不會發生失控執行。
無中心化閘道器
Caiioo 沒有類似 OpenClaw Gateway 的組件。您的裝置直接與您選擇的 AI 供應商通訊 — 無論是 Anthropic、Google、OpenRouter、Ollama 或任何其他供應商。Caiioo 絕不攔截、代理或儲存您的 API 調用。不存在會繼承您所有憑證的單一受攻擊點。
設計上的憑證隔離
API 金鑰儲存在瀏覽器的安全儲存空間(或 macOS/iOS 上的 Keychain)中 — 而非純文字設定檔。工具僅能存取其所需的憑證。不存在共享的全域上下文,因此一個工具無法讀取另一個工具的機密資訊。
試用 Caiioo
如果您正在評估用於專業用途的 AI 代理,問題不在於代理是否強大,而是在於您是否可以信任它。Caiioo 為您提供相同的 AI 功能,並具備核准控制、即時透明度以及不會產生單一故障點的架構。
免費開始使用 — 提供瀏覽器擴充功能、原生 macOS 應用程式,以及適用於 Windows 和 Linux 的桌面應用程式。
來源: