微软发出紧急提醒：AI 助手 OpenClaw 不宜直接部署在办公电脑上

有消息称，Microsoft 近日针对自家人工智能助手 OpenClaw 发布了重要安全提醒，明确提出该工具不适合直接运行在普通个人电脑或企业办公终端上，而应只放在与生产环境彻底隔离的专用环境中使用。

OpenClaw 是一款可以自主执行任务的 AI 代理。为了让它自动完成各类操作，用户往往需要授予其对整个计算机和相关软件的广泛访问权限，包括邮件、文档、本地和云端服务以及各类登录账号信息。这种“高权限 + 可长期保留记忆”的运行机制，让它在能力和效率上非常强大，同时也带来了明显的安全隐患。

微软 Defender 安全研究团队在官方博客中明确表示，应将 OpenClaw 视为“拥有长期有效凭据的不受信任代码运行环境”。一旦被攻击者利用，不仅可能导致账号和敏感数据被窃取，还可能通过篡改代理的持久记忆，使其在后续的多次运行中持续执行被植入的恶意指令。

微软披露，当前围绕 OpenClaw 主要存在两大类核心威胁：

第一，间接提示注入（Indirect Prompt Injection）。

攻击者可以把恶意指令藏在代理会读取的文本、网页或文件中，从而悄悄影响它调用本地或在线工具，甚至改写其内部记忆，对后续行为产生持续影响。如果在设计时没有建立清晰严格的安全边界，代理就可能在“毫不知情”的情况下替攻击者完成危险操作。

第二，基于技能的恶意代码（Skill-based Malware）。

OpenClaw 支持通过从网络下载和执行代码模块的方式来扩展能力，而这恰好可以被当作攻击入口。攻击者可投放包含恶意逻辑的“技能”模块，从而实现远程控制或植入后门。微软指出，这类攻击不一定依赖传统意义上的恶意软件文件，有时只需对配置或逻辑做出细微改动，就足以达到目的。

这些风险并非停留在理论层面。近期，SecurityScorecard 旗下 STRIKE 威胁情报团队发现，全球 82 个国家中有超过 42,000 个独立 IP 暴露了 OpenClaw 控制面板，其中约 50,000 个实例存在远程代码执行（RCE）漏洞，攻击者可以直接接管底层宿主系统，对用户账号和数据安全构成实质威胁。

基于以上问题，微软建议各类组织在专用虚拟机或独立物理设备中对 OpenClaw 进行测试和评估。运行环境应仅使用专门设置的低权限账号，只接触不敏感的数据，同时配合持续监控和定期重建机制，避免把它直接部署在关键业务系统或核心生产环境中。

随着此类可自主行动的 AI 代理工具逐渐进入真实业务场景，其安全边界和治理规则已经成为业内必须重视的话题。OpenClaw 的案例再次给企业敲响警钟：在拥抱 AI 自动化带来效率提升的同时，也要同步搭建起完善的隔离机制、权限控制与监控体系，否则这些强大的执行能力同样可能被转换成入侵和攻击的通道。