Benioff on OpenClaw: What's missing is trust, security, reliability, and availability.

本文档由英文原版机器翻译而成。如果翻译版本与英文原版之间存在任何冲突,请以英文原版为准。 阅读英文原版

Benioff 谈 OpenClaw:缺失的是信任、安全、可靠性和可用性。

2026-04-12 · Caiioo Team

Salesforce 首席执行官 Marc Benioff 专门购买了一台机器来测试 OpenClaw —— 据报道,OpenAI 以 10-50 亿美元收购了这款开源 AI 智能体。他的结论是?它不值得信任。

“OpenClaw 很棒。但它还没达到企业级的水平,”Benioff 表示,“它所缺失的是信任、安全、可靠性和可用性。”

随后的安全研究证明了他的观点是正确的 —— 问题的严重程度超出了大多数人的想象。

漏洞并非停留在理论层面

自从 OpenClaw 走红以来,安全研究人员记录了一系列引人注目的真实攻击案例:

  • CVE-2026-25253 (CVSS 8.8):通过控制 UI 未经校验的 WebSocket 连接实现的“一键式”远程代码执行漏洞。同一天还披露了另外两个命令注入缺陷。
  • ClawJacked (Oasis Security):任何网站都可以通过 JavaScript 静默获取 OpenClaw 智能体的完整控制权 —— 速率限制器豁免了本地主机 (localhost),从而允许暴力破解密码。
  • 超过 42,900 个暴露实例:SecurityScorecard 的 STRIKE 团队发现了这些实例,其中 15,200 个存在远程代码执行风险。Bitsight 在为期两周的扫描中独立确认了 30,000 多个暴露实例。
  • ClawHub 上的 1,184 个恶意技能:占整个技能注册库的 12%。其中 335 个安装了 Atomic Stealer (AMOS),这是一种 macOS 窃密软件,用于获取 API 密钥、加密货币钱包、SSH 凭据和浏览器密码。
  • 7.1% 的 ClawHub 技能通过明文泄露凭据:根据 Snyk 的审计,这些凭据通过 LLM 的上下文窗口泄露。技能之间没有凭据隔离 —— 一个技能可以读取另一个技能设置的机密信息。

思科、微软和 CrowdStrike 都发布了安全公告。微软的安全博客指出,OpenClaw 智能体“默认以主机用户权限运行,且没有严格的沙箱机制”。

架构上的根本原因

OpenClaw 的安全问题并非待修复的漏洞,而是其架构导致的必然结果:

网关默认绑定到所有网络接口 (0.0.0.0:18789),将智能体暴露给整个本地网络。这一设计决策导致了 SecurityScorecard 和 Bitsight 记录的大规模暴露。

所有数据流经中心化的网关进程,该进程负责消息传递、身份验证、会话管理和调度。一旦网关被攻破,攻击者就能继承所有凭据、对话以及连接的服务 —— 包括电子邮件、云 API、即时通讯平台和内部系统。

智能体操作无需用户批准。 OpenClaw 的核心设计允许其执行 shell 命令、读写文件和运行脚本。恶意技能利用提示词注入 (prompt injection) 绕过安全检查并静默执行命令。

缺乏凭据隔离。 API 密钥存储在环境变量和 .clawdbot/.env 中 —— 智能体上下文中的每个技能都可以访问。单个恶意技能就能窃取智能体有权访问的所有机密信息。

Caiioo 的架构有何不同

Caiioo 和 OpenClaw 都是本地优先、支持 BYOK 且不限供应商的。两者的区别不在于它们连接到什么,而在于它们如何处理信任、透明度和用户控制

每次写入、发送或删除都需要明确批准

Caiioo 对任何可以写入、修改、发送或删除数据的工具(只读工具如搜索、浏览和总结则无中断运行)使用三层范围的工具批准系统:

  • 批准一次 — 允许单次执行,下次再次询问
  • 在此对话中批准 — 仅允许在此线程内执行,对话结束时重置
  • 始终批准 — 永久全局权限(高风险工具显示为红色)

批准过程是阻塞式的 —— 智能体(agent)会等待您的响应。对于具有副作用的工具,没有“自动运行”标志。没有元数据的外部 MCP 工具默认需要批准(故障安全)。每个工具都有风险等级(低/中/高),并在批准对话框中带有颜色编码的警告。

实时全透明

每个工具调用及其状态都会显示在侧边栏中:待处理、等待批准、正在执行、成功或失败。您可以实时看到智能体正在做什么、传递了哪些参数以及获得了什么结果。您可以在任何操作执行前阅读其意图,展开原始详情,并做出明智的决定。

随时立即停止

Caiioo 在多个节点检查中止信号:在工具执行之间、在等待批准期间以及在长时间运行的操作中。点击停止,智能体会立即停下,清理待处理的批准,并关闭任何活动的浏览器会话。没有孤儿进程,没有失控的执行。

无中心化网关

Caiioo 没有类似于 OpenClaw Gateway 的组件。您的设备直接与您选择的 AI 供应商通信 —— Anthropic、Google、OpenRouter、Ollama 或任何其他供应商。Caiioo 绝不拦截、代理或存储您的 API 调用。不存在一个会继承您所有凭据的单点风险。

设计上的凭据隔离

API 密钥存储在浏览器的安全存储中(或 macOS/iOS 上的 Keychain 中),而不是存储在明文配置文件中。工具仅访问它们需要的凭据。不存在共享的全局上下文,一个工具无法读取另一个工具的机密信息。

试用 Caiioo

如果您正在评估用于专业用途的 AI 智能体,问题不在于智能体是否强大,而在于您是否可以信任它。Caiioo 为您提供相同的 AI 能力,同时具备审批控制、实时透明度以及不会产生单点故障的架构。

免费开始使用 —— 提供浏览器扩展程序、原生 macOS 应用以及适用于 Windows 和 Linux 的桌面应用。

来源: