OpenClaw 在公众视野中变得更安全

OpenClaw 项目最初是作者在维也纳的 Mac 上开始的一个实验，但如今它已发展成为一个被众多公司用于生产环境的开源 AI 代理项目。尽管开源常被认为不安全，因为代码公开，但正是这种开放性使得 OpenClaw 能够迅速在公众视野中提升安全性。

项目面临的最大挑战之一是大量虚假的安全报告。自 1 月 10 日以来，GitHub 上共收到了 1309 份安全报告，其中 746 份被关闭为无效。这些报告往往夸大其词，例如“代理运行命令，因此存在 RCE”或“插件执行代码”，但实际上并非真正的安全边界违规。OpenClaw 团队通过定义明确的信任模型（SECURITY.md）和预期行为，有效地过滤了这些误报。

尽管如此，真实漏洞仍然存在。团队修复了包括认证错误、权限混淆、重新连接范围扩大、沙盒绕过、不安全的环境变量处理以及审批路径错误在内的多个问题。为了安全，一些功能被削减，例如收紧允许列表，这虽然影响了单机设置的用户体验，但主要针对多用户威胁，而这些威胁在生产环境中更为常见。

为了减少攻击面，OpenClaw 将更多功能移到了插件中，从而缩小了核心的攻击面积和依赖树。发布流程也从单人负责变为由两位基金会成员共同签名。持续集成中的端到端测试得到了升级，确保每次拉取请求都能运行代理流程。此外，项目还增加了可观测性，如 OpenTelemetry 和 Prometheus 指标，并改进了秘密管理方式。

OpenClaw 的安全提升离不开众多合作伙伴的支持。NVIDIA 提供了工程时间和安全思考；微软和 GitHub 通过 GitHub 安全开源基金提供了平台支持；Atlassian 和其他企业合作伙伴在部署、审计、身份边界和秘密处理方面提供了帮助；腾讯则指派了全职维护者，并与内部安全团队建立了直接的漏洞同步机制。OpenAI 继续支持项目，提供了 Codex Security 以主动发现和修复安全问题，并承诺帮助保持 OpenClaw 的开放性和独立性。

ClawHub 的安全重建也在进行中，Convex 帮助团队维护市场，并持续监控和清理。仅上个月，团队就关闭了超过 700 个 ClawHub 审核问题。

2 月份流传的“混乱代理人”论文是对项目安全性的一个夸张扭曲。研究人员在禁用护栏、开启 sudo 模式的情况下测试代理，然后将结果描绘为用户的默认体验。实际上，OpenClaw 的设计是为每个代理信任一个人，如果与非信任用户共享代理，他们将获得相同的工具访问权限。这是设计使然，而非隐藏的认证漏洞。

总之，开放和安全并不对立。OpenClaw 的案例证明，开放是达到安全的有效途径。