热罐小角

AI 时代创业哲学 · 45

2026年初,AI Agent从概念走向了日常。OpenClaw在GitHub上狂揽15万颗星,Claude Cowork一经发布便引发了"Saaspocalypse"(SaaS末日论), Genspark宣称已有2亿用户,Manus被Meta以数十亿美元收购。越来越多的人开始使用这些强大的AI工具,一个根本性的问题也随之而来:Agent到底安不安全?

这不是一个简单的"是或否"的问题。不同架构的Agent面临的安全威胁截然不同。本文试图从安全的本质出发,拆解OpenClaw这种本地托管和Claude Cowork/Genspark/Manus等云端混合架构各自的运行机制与安全边界,帮助用户识别并选择。

一、什么是"安全"?

云计算时代的安全共识

2011年,AWS发布了影响深远的共享责任模型(Shared Responsibility Model)。这个模型用一条清晰的线把安全责任切成两部分:

  • Security of the Cloud(云的安全):由AWS负责,包括物理数据中心、网络基础设施、虚拟化层、硬件安全。
  • Security in the Cloud(云中的安全):由客户负责,包括操作系统补丁、应用配置、数据加密、身份与访问管理。

这个模型的精妙之处在于,它用服务类型来区分责任边界。如果使用EC2(IaaS),那么客户承担大部分安全责任;如果使用S3或DynamoDB(PaaS/SaaS),AWS则承担更多责任;如果使用全托管服务,如Lambda,那么客户只需要关心代码和权限。这种分层思维帮助了云计算那个时代的企业理解了"上云不等于安全外包"。

AI Agent时代

在AI Agent时代,出现了一个AWS没有考虑过的变量:软件本身具有了自主决策和行动能力。

传统云安全的核心假设是"软件只做你明确指示它做的事":你写的代码、你配的规则、你设的权限,决定了系统的行为边界。Agent颠覆了这个假设。一个Agent可能在执行"帮你清理邮件"的任务时,把你没有授权过的邮件也清理掉了。就好像你让出纳给A公司汇款100万,他听错了汇成了1000万一样。

是的,管理AI Agent和管理人显得越来越接近。如果我们要为Agent构建一个新的共享责任模型,它至少需要覆盖四个维度:

1.数据安全。你的敏感信息会不会被泄露给第三方?这包括Agent运行时接触到的所有数据:邮件内容、文件、日历、浏览记录、API密钥。这与传统云安全中"客户数据"的保护对应,但Agent的数据暴露面远大于传统应用。

2.执行安全。Agent会不会做出你没有预期的操作?Simon Willison将Agent的这种风险称为致命三角(Lethal Trifecta):同时拥有私有数据访问权、暴露于不可信内容、具备对外通信能力。在AWS模型中,类似的风险被IAM策略和安全组约束;但Agent的"行动空间"是由自然语言定义的,远比API权限难以界定。

The Lethal Trifecta - 致命三角

3.插件与技能包安全。Agent的能力通常来自第三方插件和技能包。Cisco的安全团队分析了31,000个Agent技能包,发现26%至少包含一个安全漏洞。这类似于传统云安全中的"依赖项漏洞",但Agent插件的危害更直接:一个恶意插件不只是引入代码漏洞,它可以直接指挥Agent执行数据窃取。

4.提示词注入防御。这是Agent时代完全没有先例的安全挑战。攻击者可以在网页、邮件、文档中嵌入恶意指令,诱导Agent执行非预期操作。Anthropic自己承认:"Agent安全仍然是全行业范围内一个活跃的研发领域"。这个维度在AWS模型中找不到对应物,因为传统软件不会"被说服"去做坏事。

Claude Cowork界面截图

从IaaS/SaaS到Agent:责任如何分配?

用AWS模型的思路来类比:OpenClaw类似于IaaS,Claude Cowork/Genspark/Manus则类似于PaaS/SaaS。

OpenClaw把基础设施(本地硬件)和运行时(Gateway)都交给用户管理:你获得最大控制权,也承担最大安全责任。Cowork/Manus/Genspark把执行环境、隔离机制、基础防护都交给服务商:你减少了运维负担,但必须信任服务商的安全承诺。

核心差异不在于哪个更安全,而在于安全责任的分配方式不同。下面我们具体拆解。

AI Agent安全架构对比:共享责任模型视角

二、OpenClaw的运行机制与安全要点

架构概览

OpenClaw由奥地利开发者Peter Steinberger创建,是一个完全自托管、本地优先的AI Agent框架。它的核心架构:

一个本地Gateway(基于Node.js的控制层)连接WhatsApp、Telegram、Slack等消息渠道作为交互入口,调用Claude、ChatGPT、Minimax等外部大模型作为大脑,通过100多个Skill插件执行具体任务,包括操作文件系统、控制浏览器、管理日历、执行shell命令等。所有配置数据和交互历史存储在本地,实现跨会话的持久化记忆。

在共享责任模型的框架下,OpenClaw用户的安全责任几乎是100%:物理设备安全、网络隔离、权限配置、插件审计、密钥管理、日志监控等全部由用户自己负责。

OpenClaw项目本身只提供工具,不提供安全保障。

OpenClaw官网

需要警惕的安全点

第一,过度权限。OpenClaw要发挥作用,就需要访问你的邮箱、日历、消息平台、文件系统、浏览器。这意味着一旦Agent被误导或技能包被污染,攻击者可以获得与你几乎相同的操作权限。这种同时具备私有数据访问、不可信内容暴露和外部通信能力的组合,使OpenClaw不适合安全性要求高的企业使用。

第二,插件生态缺乏安全审计。Cisco安全团队对OpenClaw的技能包进行了实际测试。他们选择了一个名为"What Would Elon Do?"的热门技能包运行测试,结果发现9个安全问题,其中2个严重、5个高危。这个技能包实质上就是恶意软件:它指示Agent执行curl命令,将用户数据静默发送到外部服务器。更危险的是,这个技能包曾被人为刷到了ClawHub排行榜第一位。

Claude Skill Security Scan Report

第三,配置错误导致实例裸奔。Forbes报道了多起钓鱼网站和假冒分发渠道的案例。安全研究人员建议在沙箱环境中运行OpenClaw,避免连接包含敏感凭证的生产系统。但对于非技术用户来说,正确配置网络隔离、权限边界、API密钥管理绝非易事。

第四,模型调用仍然依赖外部API。虽然数据"本地优先",但OpenClaw调用外部大模型时,用户的提示词和上下文仍然会发送到模型服务商的服务器。使用本地模型可以缓解,但能力可能会因为本地算力的限制出现显著下降。

OpenClaw的安全本质是:用户同时是云服务商和云客户,所有安全责任都是你的。

对于技术能力强的个人用户和小团队,这是最灵活的选择;对于非技术用户则像是一把没有保险栓的枪。

三、Claude Cowork/Genspark/Manus的运行机制和安全要点

这三个产品代表了云端或混合架构Agent的不同变体,但共享一个核心特征:服务商承担了相当比例的安全责任。

Claude Cowork:虚拟机沙箱+最小权限

Anthropic的Claude Cowork可能是目前安全架构设计最审慎的方案。

在macOS上,Cowork通过Apple Virtualization Framework启动一个独立的Linux虚拟机,下载并引导一个自定义的Linux根文件系统,实现硬隔离。Agent的所有操作被锁定在虚拟机内部。虚拟机内部再通过bubblewrap+seccomp实现软隔离,进一步限制系统调用和权限。采用"默认拒绝"的最小权限原则:只有用户显式授权的目录和连接器才可访问,网络访问默认关闭或强约束。

Anthropic负责了"Agent执行环境的安全"(沙箱隔离、syscall限制、默认网络封锁),用户负责"Agent访问范围的安全"(授权哪些目录、是否开启网络、是否连接敏感服务)。

但Cowork不是万无一失的。PromptArmor安全公司在Cowork发布后立即披露了一个漏洞:源自Claude Code(2025年10月发现、Anthropic承认但未修复)的间接提示词注入威胁同样存在于Cowork中。攻击者可以通过恶意提示诱导Cowork将包含敏感数据的文件上传到攻击者的Anthropic账户。

讽刺之处在于:Cowork面向的是非技术用户,但Anthropic在安全指南中要求用户能够"监控Claude的可疑行为,识别可能的提示词注入"。PromptArmor的研究者直言:"不应期望非技术用户能检测到表明提示词注入攻击的可疑行为"。

此外,Anthropic在2025年11月发表的提示词注入防御研究中,将这类攻击定义为AI Agent面临的"最重大安全挑战之一"。

Genspark:云端全托管的"AI工作台"

Genspark由Mainfunc公司开发,定位是一站式AI工作空间。它的Super Agent协调多个专用子Agent,使用混合模型架构,同时调用ChatGPT、Claude、Gemini等模型并交叉验证结果。

安全层面:Genspark本质上是一个集中式云服务。所有任务在云端异步执行,用户数据流经Genspark的服务器。安全研究机构LayerX指出了几个关键风险:AI浏览器需要存储和管理大量连接服务的凭证,形成集中的攻击目标;Super Agent跨平台操作时需要access token、API key和session cookie,任何环节泄露都可能造成级联失败;数据分类和DLP控制的细节文档不够充分。

Genspark Vulnerabilities: Comparison Analysis

在共享责任模型中,Genspark更接近SaaS层。用户的安全责任较少,但对服务商的信任要求极高。一个积极信号是Genspark加入了Microsoft Agent 365生态,可以接入企业级的Defender、Entra和Purview安全治理框架。

Manus:云沙箱+本地浏览器的混合架构

Manus为每个用户任务分配一个完全隔离的云虚拟机作为沙箱环境,采用Zero Trust架构:沙箱内Agent拥有root权限,但破坏不会蔓延到用户账户或其他会话。

Manus区分了"分享"和"协作"两种模式:分享只暴露对话日志和输出文件,沙箱不可见;协作则授予对沙箱的完整访问权限,外部服务连接器会自动断开。2025年11月推出的Browser Operator增加了本地浏览器控制能力,让Agent能操作已登录的网站,但这也打开了新的攻击面。

Reddit上关于其云浏览器能访问多少数据的讨论一直没有平息。多家安全机构警告,目前Manus缺乏足够的企业级安全控制、策略框架和细粒度的访问管理文档。

三者的共同安全命题

无论是Claude Cowork、Genspark还是Manus,它们都面临一个共同的根本问题:对提示词注入目前没有解决方案。只要Agent需要处理来自互联网的内容(网页、邮件、文档),它就可能被注入恶意指令。

与AWS模型类比:在云计算时代,最常见的安全事故是客户侧的配置错误(S3存储桶公开访问、IAM策略过于宽松)。在Agent时代,最可能的安全事故来源将是用户对Agent授权过多权限和Agent处理的内容中包含恶意注入。安全边界从"配置"转移到了"授权"和"内容"。

四、企业的未来会更倾向哪种架构?

这仿佛又回到了在云计算时代大家对企业会更倾向于使用公有云还是私有云的讨论。

短期(1-2年):Claude Cowork/Genspark/Manus类产品占据主流

对大多数企业来说,公有云类产品更具吸引力,核心原因是安全治理的可操作性:

责任链条清晰。企业需要明确的安全责任主体。谁部署了Agent、Agent访问了什么数据、出了问题谁负责。Cowork背后有Anthropic作为责任主体,有明确的安全架构文档,有VM隔离和最小权限的技术保障。OpenClaw是开源社区项目,没有SLA,没有合规认证,出了安全事故没有责任兜底方。

安全运维成本低。部署和维护一个安全的OpenClaw实例需要专业能力:网络隔离、密钥管理、插件审计、日志监控、沙箱配置。多数企业不具备也不愿意为一个Agent工具建立专门的安全运维团队。Cowork的VM沙箱是开箱即用的,用户"不需要知道什么是文件系统沙箱"。

生态整合提供治理框架。Genspark接入了Microsoft Agent 365的Defender/Entra/Purview安全治理体系,Cowork与Claude企业版深度集成并通过MCP标准化了工具连接,Manus纳入了Meta的AI基础设施。OpenClaw在企业安全治理生态方面基本空白。

中长期(2年+):格局可能分化

这里有几个趋势值得关注:

本地模型能力逼近云端模型。随着DeepSeek、Llama系列等开源模型持续进步,在本地硬件上运行高质量推理的门槛不断降低。当本地模型能力接近Claude或GPT时,OpenClaw架构的"数据完全不离开本地"优势将在金融、医疗、国防等数据敏感行业变得极具吸引力。

监管压力推动数据本地化。欧盟AI Act、中国数据出境安全评估、各国酝酿中的Agent专项监管,都在推动企业减少数据跨境流动。自托管Agent在合规层面可能逐渐从劣势变为优势。

混合架构将成为主流。最终的胜出形态可能不是纯云或纯本地,而是混合架构。云端沙箱用于通用任务,本地执行用于敏感操作,两者通过标准化协议(MCP、Google A2A)协同。企业可能同时使用Cowork处理日常文档工作,用OpenClaw式的本地Agent处理涉及核心知识产权的任务。

安全视角的关键判断

OpenClaw/Claude Cowork/Genspark/Manus,到底哪个才安全?

Agent安全基础设施本身正在成为一个快速增长的领域。Cisco发布了开源的SkillScanner工具,Palo Alto Networks发布了Agent安全威胁分析框架,PromptArmor专注于提示词注入检测,LayerX在做AI浏览器安全评估。

OpenClaw类项目面临的最大安全风险是社区治理能否支撑安全承诺。15万GitHub星标很漂亮,但安全需要持续投入和专业审计。Cisco揭示的26%技能包漏洞率不是一个可以靠"社区自愈"解决的问题。

Cowork类产品面临的最大安全风险是提示词注入的攻防不对称。防御者需要堵住所有漏洞,攻击者只需找到一个。Anthropic在安全文档中的坦率措辞:"我们构建了复杂的防御,但Agent安全仍然是全行业范围内一个活跃的研发领域"。

结语

OpenClaw和Claude Cowork/Genspark/Manus,哪个更安全?回到AWS共享责任模型给我们的核心启示:安全不是一个二元问题,而是一个责任分配问题。

OpenClaw给你100%的控制权和100%的责任,就像自己运营一个数据中心。

Cowork给你一个精心设计的沙箱和一组明确的安全承诺,但你必须信任Anthropic的防线:这道防线在提示词注入面前仍非铜墙铁壁。

无论选择哪种架构,有一点是确定的:我们正处于Agent安全的"史前时代"。提示词注入没有根本解决,插件审计刚刚起步,行业标准尚未形成。今天的最佳实践很可能在6个月后被证明是不够的。

保持对安全边界的清醒认知,可能比选择正确的工具更重要。我们要时刻记住"最小权限原则"。如果你对自己有信心,可以用最可控的OpenClaw。否则可以尝试Claude Cowork/Genspark/Manus。如果你完全不相信自己,或许可以暂时别使用这些工具。

关于作者

Hotcan,80后技术老炮儿和哲学爱好者

云计算和数字化转型的投资人和创业者

免责申明:本公众号不以盈利为目的,内容仅供参考,个人及所属公司对发布的信息不作任何保证和承诺。如需转载,请您注明出处和保持信息完整性。如有未注明作者及出处信息或图片,请版权所有者联系我们,我们将及时补上,感谢您的辛勤创作。本文部分文字、图像和视频由AI生成,内容经由作者审核。作者对本文原创和AI生成的内容负责。

💬 留言