Transformer論文作者重造龍蝦，Rust搓出鋼鐵版，告別OpenClaw裸奔漏洞

夢(mèng)晨 發(fā)自 凹非寺

量子位 | 公眾號(hào) QbitAI

有多少龍蝦在互聯(lián)網(wǎng)上裸奔論文？

AI智能體帶著你的密碼和API密鑰暴露給全網(wǎng)論文。

Transformer作者 Illia Polosukhin看不下去了論文。出手從零重構(gòu)了安全版龍蝦： IronClaw。

功能

OpenClaw

IronClaw

核心語(yǔ)言

Type

Rust

憑證處理

直接暴露給AI智能體

加密存儲(chǔ)論文，LLM無法訪問

工具執(zhí)行

在主環(huán)境中運(yùn)行

WASM沙箱隔離運(yùn)行

部署環(huán)境

標(biāo)準(zhǔn)服務(wù)器

可信執(zhí)行環(huán)境（TEE）

數(shù)據(jù)隱私

存在泄露風(fēng)險(xiǎn)

本地加密論文，無遙測(cè)數(shù)據(jù)

IronClaw目前已在GitHub上開源，提供macOS、Linux和Windows的安裝包，支持本地部署，也支持通過云端托管論文。項(xiàng)目仍處于快速迭代階段，v0.15.0版本的二進(jìn)制文件已可下載。

Polosukhin（以下簡(jiǎn)稱菠蘿哥）還在Reddit論壇開貼回應(yīng)一切，關(guān)注度頗高論文。

展開全文

OpenClaw火了論文，但也“著火”了

菠蘿哥本人也是OpenClaw的早期使用者，并稱這是他等了20年的技術(shù)論文。

它已經(jīng)改變了我與計(jì)算交互的方式論文。

它已經(jīng)改變了我與計(jì)算交互的方式論文。

然而OpenClaw的安全狀況堪稱災(zāi)難，一鍵式遠(yuǎn)程代碼執(zhí)行、提示注入攻擊、惡意技能竊取密碼，這些漏洞在OpenClaw的生態(tài)系統(tǒng)中被逐一曝光論文。

超過25000個(gè)公開實(shí)例在沒有充分安全控制的情況下暴露在互聯(lián)網(wǎng)上，被安全專家直接稱為「安全垃圾火災(zāi)（security dumpster fire）」論文。

問題的根源在于架構(gòu)本身論文。

當(dāng)用戶將自己的郵箱Bearer Token交給OpenClaw時(shí)，會(huì)被直接送入LLM提供商的服務(wù)器論文。

菠蘿哥在Reddit上指出這意味著什么論文：

你所有的信息，甚至包括你沒有明確授權(quán)的數(shù)據(jù)，都可能被該公司的任何員工訪問到論文。這同樣適用于你雇主的數(shù)據(jù)。不是說這些公司有惡意，但現(xiàn)實(shí)就是用戶沒有真正的隱私。

你所有的信息，甚至包括你沒有明確授權(quán)的數(shù)據(jù)，都可能被該公司的任何員工訪問到論文。這同樣適用于你雇主的數(shù)據(jù)。不是說這些公司有惡意，但現(xiàn)實(shí)就是用戶沒有真正的隱私。

他表示，再多的便利也不值得拿自己和家人的安全與隱私去冒險(xiǎn)論文。

用Rust從零重建一切

IronClaw是用 Rust語(yǔ)言對(duì)OpenClaw的完全重寫論文。

Rust的內(nèi)存安全特性能從根本上消除緩沖區(qū)溢出等傳統(tǒng)漏洞，這對(duì)于需要處理私鑰和用戶憑證的系統(tǒng)至關(guān)重要論文。

在安全架構(gòu)上，IronClaw建立了四層縱深防御論文。

第一層是Rust本身提供的內(nèi)存安全保證論文。

第二層是WASM沙箱隔離，所有第三方工具和AI生成的代碼都在獨(dú)立的WebAssembly容器中運(yùn)行，即使某個(gè)工具是惡意的，其破壞范圍也被嚴(yán)格限制在沙箱之內(nèi)論文。

第三層是加密憑證保險(xiǎn)庫(kù)，所有API密鑰和密碼都使用AES-256-GCM加密存儲(chǔ)，每一條憑證都綁定了策略規(guī)則，規(guī)定它只能用于特定域名論文。

第四層是可信執(zhí)行環(huán)境（TEE），利用硬件級(jí)別的隔離保護(hù)數(shù)據(jù)，即使是云服務(wù)提供商也無法訪問用戶的敏感信息論文。

這套設(shè)計(jì)中最關(guān)鍵的一點(diǎn)是： 大模型本身永遠(yuǎn)接觸不到原始憑證論文。

只有當(dāng)智能體需要與外部服務(wù)通信時(shí)，憑證才會(huì)在網(wǎng)絡(luò)邊界被注入論文。

菠蘿哥舉了一個(gè)例子，即使大模型被提示注入攻擊，試圖將用戶的Google OAuth令牌發(fā)送給攻擊者，憑證存儲(chǔ)層也會(huì)直接拒絕這個(gè)請(qǐng)求，記錄日志，并向用戶發(fā)出警報(bào)論文。

然而開發(fā)者社區(qū)還是不放心論文，畢竟OpenClaw有2000多個(gè)公開實(shí)例被攻擊，以及存在大量惡意技能，IronClaw一旦走紅會(huì)不會(huì)重蹈覆轍？

菠蘿哥的回應(yīng)是， IronClaw的架構(gòu)設(shè)計(jì)已經(jīng)從根本上堵住了OpenClaw的核心漏洞論文。憑證始終加密存儲(chǔ)且從不接觸LLM，第三方技能無法在主機(jī)上執(zhí)行腳本，只能在容器內(nèi)部運(yùn)行。

即便通過CLI訪問，也需要用戶的系統(tǒng)鑰匙串來解密，拿到的加密密鑰本身沒有意義論文。

他同時(shí)表示，隨著核心版本趨于穩(wěn)定，團(tuán)隊(duì)計(jì)劃進(jìn)行紅隊(duì)測(cè)試和專業(yè)安全審查論文。

關(guān)于 提示注入這個(gè)業(yè)界公認(rèn)的難題，菠蘿哥給出了更詳細(xì)的思路論文。

但他也承認(rèn)， 提示注入不僅可能竊取憑證，還可能直接篡改用戶的代碼庫(kù)或通過通訊工具發(fā)送惡意消息論文。

應(yīng)對(duì)這類攻擊需要一套更智能的策略系統(tǒng)，能夠在不查看輸入內(nèi)容的情況下審查智能體的行為意圖，“還需要更多工作，歡迎社區(qū)貢獻(xiàn)”論文。

有人問到本地部署和云端部署的取舍論文。

菠蘿哥認(rèn)為純本地方案存在明顯局限，設(shè)備關(guān)機(jī)時(shí)智能體就停止工作，移動(dòng)端的能耗難以承受，復(fù)雜的長(zhǎng)時(shí)間任務(wù)也無法運(yùn)行論文。

他認(rèn)為 機(jī)密云（confidential cloud）是目前的最優(yōu)折中方案，既能提供接近本地設(shè)備的隱私保障，又能解決「永遠(yuǎn)在線」的問題論文。

他還提到一個(gè)細(xì)節(jié)：用戶可以設(shè)置策略，例如在跨境旅行時(shí)自動(dòng)添加額外的安全屏障，防止未經(jīng)授權(quán)的訪問論文。

一個(gè)更大的野心

菠蘿哥并非普通的開源開發(fā)者論文。

2017年，他作為八位共同作者之一發(fā)表了「Attention Is All You Need」，其中提出的Transformer架構(gòu)奠定了當(dāng)今所有大語(yǔ)言模型的基礎(chǔ)論文。

雖然在署名中他排最后，但論文中有一條腳注寫著「Equal contribution. Listing order is random.」排名純屬隨機(jī)論文。

但同年他從谷歌離職，創(chuàng)立 NEAR Protocol，致力于將AI與區(qū)塊鏈技術(shù)融合論文。

IronClaw背后是NEAR Protocol一個(gè)更大的戰(zhàn)略構(gòu)想： 用戶自有AI（User-Owned AI）論文。

在這個(gè)愿景中，用戶完全掌控自己的數(shù)據(jù)和資產(chǎn)，AI智能體在可信環(huán)境中代替用戶執(zhí)行任務(wù)論文。

NEAR已經(jīng)為此搭建了AI云平臺(tái)和去中心化GPU市場(chǎng)等基礎(chǔ)設(shè)施，IronClaw是這套體系的運(yùn)行時(shí)層論文。

菠蘿哥甚至開發(fā)了一個(gè) 智能體互相雇傭的市場(chǎng)論文。

在NEAR的market.near.ai上，用戶可以將自己專業(yè)化的智能體注冊(cè)上線，隨著智能體積累聲譽(yù)，它將獲得更多高價(jià)值的任務(wù)論文。

當(dāng)被問到普通人未來五年如何適應(yīng)AI時(shí)代時(shí)，菠蘿哥的建議是盡快采用AI智能體的工作方式，學(xué)會(huì)將完整的工作流程交給它自動(dòng)化處理論文。

他的這種判斷并非近期才突然產(chǎn)生論文。

早在2017年創(chuàng)立NEAR AI時(shí)，菠蘿哥就在告訴所有人“未來你只需要和計(jì)算機(jī)對(duì)話，不再需要寫代碼”論文。

當(dāng)時(shí)人們覺得他們瘋了，是在說胡話論文。

九年過去了，這件事正在變成現(xiàn)實(shí)論文。

“AI智能體是人類與線上一切交互的終極界面，”Polosukhin寫道，“但讓我們把它做得安全論文?！?/p>

GitHub地址論文：

參考鏈接論文：

[1]