熱罐小角

AI 時代創業哲學 · 45

2026年初,AI Agent從概念走向了日常。OpenClaw在GitHub上狂攬15萬顆星,Claude Cowork一經發布便引發了"Saaspocalypse"(SaaS末日論), Genspark宣稱已有2億用户,Manus被Meta以數十億美元收購。越來越多的人開始使用這些強大的AI工具,一個根本性的問題也隨之而來:Agent到底安不安全?

這不是一個簡單的"是或否"的問題。不同架構的Agent面臨的安全威脅截然不同。本文試圖從安全的本質出發,拆解OpenClaw這種本地託管和Claude Cowork/Genspark/Manus等雲端混合架構各自的運行機制與安全邊界,幫助用户識別並選擇。

一、什麼是"安全"?

雲計算時代的安全共識

2011年,AWS發佈了影響深遠的共享責任模型(Shared Responsibility Model)。這個模型用一條清晰的線把安全責任切成兩部分:

  • Security of the Cloud(雲的安全):由AWS負責,包括物理數據中心、網絡基礎設施、虛擬化層、硬件安全。
  • Security in the Cloud(雲中的安全):由客户負責,包括操作系統補丁、應用配置、數據加密、身份與訪問管理。

這個模型的精妙之處在於,它用服務類型來區分責任邊界。如果使用EC2(IaaS),那麼客户承擔大部分安全責任;如果使用S3或DynamoDB(PaaS/SaaS),AWS則承擔更多責任;如果使用全託管服務,如Lambda,那麼客户只需要關心代碼和權限。這種分層思維幫助了雲計算那個時代的企業理解了"上雲不等於安全外包"。

AI Agent時代

在AI Agent時代,出現了一個AWS沒有考慮過的變量:軟件本身具有了自主決策和行動能力。

傳統雲安全的核心假設是"軟件只做你明確指示它做的事":你寫的代碼、你配的規則、你設的權限,決定了系統的行為邊界。Agent顛覆了這個假設。一個Agent可能在執行"幫你清理郵件"的任務時,把你沒有授權過的郵件也清理掉了。就好像你讓出納給A公司匯款100萬,他聽錯了匯成了1000萬一樣。

是的,管理AI Agent和管理人顯得越來越接近。如果我們要為Agent構建一個新的共享責任模型,它至少需要覆蓋四個維度:

1.數據安全。你的敏感信息會不會被泄露給第三方?這包括Agent運行時接觸到的所有數據:郵件內容、文件、日曆、瀏覽記錄、API密鑰。這與傳統雲安全中"客户數據"的保護對應,但Agent的數據暴露面遠大於傳統應用。

2.執行安全。Agent會不會做出你沒有預期的操作?Simon Willison將Agent的這種風險稱為致命三角(Lethal Trifecta):同時擁有私有數據訪問權、暴露於不可信內容、具備對外通信能力。在AWS模型中,類似的風險被IAM策略和安全組約束;但Agent的"行動空間"是由自然語言定義的,遠比API權限難以界定。

The Lethal Trifecta - 致命三角

3.插件與技能包安全。Agent的能力通常來自第三方插件和技能包。Cisco的安全團隊分析了31,000個Agent技能包,發現26%至少包含一個安全漏洞。這類似於傳統雲安全中的"依賴項漏洞",但Agent插件的危害更直接:一個惡意插件不只是引入代碼漏洞,它可以直接指揮Agent執行數據竊取。

4.提示詞注入防禦。這是Agent時代完全沒有先例的安全挑戰。攻擊者可以在網頁、郵件、文檔中嵌入惡意指令,誘導Agent執行非預期操作。Anthropic自己承認:"Agent安全仍然是全行業範圍內一個活躍的研發領域"。這個維度在AWS模型中找不到對應物,因為傳統軟件不會"被説服"去做壞事。

Claude Cowork界面截圖

從IaaS/SaaS到Agent:責任如何分配?

用AWS模型的思路來類比:OpenClaw類似於IaaS,Claude Cowork/Genspark/Manus則類似於PaaS/SaaS。

OpenClaw把基礎設施(本地硬件)和運行時(Gateway)都交給用户管理:你獲得最大控制權,也承擔最大安全責任。Cowork/Manus/Genspark把執行環境、隔離機制、基礎防護都交給服務商:你減少了運維負擔,但必須信任服務商的安全承諾。

核心差異不在於哪個更安全,而在於安全責任的分配方式不同。下面我們具體拆解。

AI Agent安全架構對比:共享責任模型視角

二、OpenClaw的運行機制與安全要點

架構概覽

OpenClaw由奧地利開發者Peter Steinberger創建,是一個完全自託管、本地優先的AI Agent框架。它的核心架構:

一個本地Gateway(基於Node.js的控制層)連接WhatsApp、Telegram、Slack等消息渠道作為交互入口,調用Claude、ChatGPT、Minimax等外部大模型作為大腦,通過100多個Skill插件執行具體任務,包括操作文件系統、控制瀏覽器、管理日曆、執行shell命令等。所有配置數據和交互歷史存儲在本地,實現跨會話的持久化記憶。

在共享責任模型的框架下,OpenClaw用户的安全責任幾乎是100%:物理設備安全、網絡隔離、權限配置、插件審計、密鑰管理、日誌監控等全部由用户自己負責。

OpenClaw項目本身只提供工具,不提供安全保障。

OpenClaw官網

需要警惕的安全點

第一,過度權限。OpenClaw要發揮作用,就需要訪問你的郵箱、日曆、消息平台、文件系統、瀏覽器。這意味着一旦Agent被誤導或技能包被污染,攻擊者可以獲得與你幾乎相同的操作權限。這種同時具備私有數據訪問、不可信內容暴露和外部通信能力的組合,使OpenClaw不適合安全性要求高的企業使用。

第二,插件生態缺乏安全審計。Cisco安全團隊對OpenClaw的技能包進行了實際測試。他們選擇了一個名為"What Would Elon Do?"的熱門技能包運行測試,結果發現9個安全問題,其中2個嚴重、5個高危。這個技能包實質上就是惡意軟件:它指示Agent執行curl命令,將用户數據靜默發送到外部服務器。更危險的是,這個技能包曾被人為刷到了ClawHub排行榜第一位。

Claude Skill Security Scan Report

第三,配置錯誤導致實例裸奔。Forbes報道了多起釣魚網站和假冒分發渠道的案例。安全研究人員建議在沙箱環境中運行OpenClaw,避免連接包含敏感憑證的生產系統。但對於非技術用户來説,正確配置網絡隔離、權限邊界、API密鑰管理絕非易事。

第四,模型調用仍然依賴外部API。雖然數據"本地優先",但OpenClaw調用外部大模型時,用户的提示詞和上下文仍然會發送到模型服務商的服務器。使用本地模型可以緩解,但能力可能會因為本地算力的限制出現顯著下降。

OpenClaw的安全本質是:用户同時是雲服務商和雲客户,所有安全責任都是你的。

對於技術能力強的個人用户和小團隊,這是最靈活的選擇;對於非技術用户則像是一把沒有保險栓的槍。

三、Claude Cowork/Genspark/Manus的運行機制和安全要點

這三個產品代表了雲端或混合架構Agent的不同變體,但共享一個核心特徵:服務商承擔了相當比例的安全責任。

Claude Cowork:虛擬機沙箱+最小權限

Anthropic的Claude Cowork可能是目前安全架構設計最審慎的方案。

在macOS上,Cowork通過Apple Virtualization Framework啓動一個獨立的Linux虛擬機,下載並引導一個自定義的Linux根文件系統,實現硬隔離。Agent的所有操作被鎖定在虛擬機內部。虛擬機內部再通過bubblewrap+seccomp實現軟隔離,進一步限制系統調用和權限。採用"默認拒絕"的最小權限原則:只有用户顯式授權的目錄和連接器才可訪問,網絡訪問默認關閉或強約束。

Anthropic負責了"Agent執行環境的安全"(沙箱隔離、syscall限制、默認網絡封鎖),用户負責"Agent訪問範圍的安全"(授權哪些目錄、是否開啓網絡、是否連接敏感服務)。

但Cowork不是萬無一失的。PromptArmor安全公司在Cowork發佈後立即披露了一個漏洞:源自Claude Code(2025年10月發現、Anthropic承認但未修復)的間接提示詞注入威脅同樣存在於Cowork中。攻擊者可以通過惡意提示誘導Cowork將包含敏感數據的文件上傳到攻擊者的Anthropic賬户。

諷刺之處在於:Cowork面向的是非技術用户,但Anthropic在安全指南中要求用户能夠"監控Claude的可疑行為,識別可能的提示詞注入"。PromptArmor的研究者直言:"不應期望非技術用户能檢測到表明提示詞注入攻擊的可疑行為"。

此外,Anthropic在2025年11月發表的提示詞注入防禦研究中,將這類攻擊定義為AI Agent面臨的"最重大安全挑戰之一"。

Genspark:雲端全託管的"AI工作台"

Genspark由Mainfunc公司開發,定位是一站式AI工作空間。它的Super Agent協調多個專用子Agent,使用混合模型架構,同時調用ChatGPT、Claude、Gemini等模型並交叉驗證結果。

安全層面:Genspark本質上是一個集中式雲服務。所有任務在雲端異步執行,用户數據流經Genspark的服務器。安全研究機構LayerX指出了幾個關鍵風險:AI瀏覽器需要存儲和管理大量連接服務的憑證,形成集中的攻擊目標;Super Agent跨平台操作時需要access token、API key和session cookie,任何環節泄露都可能造成級聯失敗;數據分類和DLP控制的細節文檔不夠充分。

Genspark Vulnerabilities: Comparison Analysis

在共享責任模型中,Genspark更接近SaaS層。用户的安全責任較少,但對服務商的信任要求極高。一個積極信號是Genspark加入了Microsoft Agent 365生態,可以接入企業級的Defender、Entra和Purview安全治理框架。

Manus:雲沙箱+本地瀏覽器的混合架構

Manus為每個用户任務分配一個完全隔離的雲虛擬機作為沙箱環境,採用Zero Trust架構:沙箱內Agent擁有root權限,但破壞不會蔓延到用户賬户或其他會話。

Manus區分了"分享"和"協作"兩種模式:分享只暴露對話日誌和輸出文件,沙箱不可見;協作則授予對沙箱的完整訪問權限,外部服務連接器會自動斷開。2025年11月推出的Browser Operator增加了本地瀏覽器控制能力,讓Agent能操作已登錄的網站,但這也打開了新的攻擊面。

Reddit上關於其雲瀏覽器能訪問多少數據的討論一直沒有平息。多家安全機構警告,目前Manus缺乏足夠的企業級安全控制、策略框架和細粒度的訪問管理文檔。

三者的共同安全命題

無論是Claude Cowork、Genspark還是Manus,它們都面臨一個共同的根本問題:對提示詞注入目前沒有解決方案。只要Agent需要處理來自互聯網的內容(網頁、郵件、文檔),它就可能被注入惡意指令。

與AWS模型類比:在雲計算時代,最常見的安全事故是客户側的配置錯誤(S3存儲桶公開訪問、IAM策略過於寬鬆)。在Agent時代,最可能的安全事故來源將是用户對Agent授權過多權限和Agent處理的內容中包含惡意注入。安全邊界從"配置"轉移到了"授權"和"內容"。

四、企業的未來會更傾向哪種架構?

這彷彿又回到了在雲計算時代大家對企業會更傾向於使用公有云還是私有云的討論。

短期(1-2年):Claude Cowork/Genspark/Manus類產品佔據主流

對大多數企業來説,公有云類產品更具吸引力,核心原因是安全治理的可操作性:

責任鏈條清晰。企業需要明確的安全責任主體。誰部署了Agent、Agent訪問了什麼數據、出了問題誰負責。Cowork背後有Anthropic作為責任主體,有明確的安全架構文檔,有VM隔離和最小權限的技術保障。OpenClaw是開源社區項目,沒有SLA,沒有合規認證,出了安全事故沒有責任兜底方。

安全運維成本低。部署和維護一個安全的OpenClaw實例需要專業能力:網絡隔離、密鑰管理、插件審計、日誌監控、沙箱配置。多數企業不具備也不願意為一個Agent工具建立專門的安全運維團隊。Cowork的VM沙箱是開箱即用的,用户"不需要知道什麼是文件系統沙箱"。

生態整合提供治理框架。Genspark接入了Microsoft Agent 365的Defender/Entra/Purview安全治理體系,Cowork與Claude企業版深度集成並通過MCP標準化了工具連接,Manus納入了Meta的AI基礎設施。OpenClaw在企業安全治理生態方面基本空白。

中長期(2年+):格局可能分化

這裏有幾個趨勢值得關注:

本地模型能力逼近雲端模型。隨着DeepSeek、Llama系列等開源模型持續進步,在本地硬件上運行高質量推理的門檻不斷降低。當本地模型能力接近Claude或GPT時,OpenClaw架構的"數據完全不離開本地"優勢將在金融、醫療、國防等數據敏感行業變得極具吸引力。

監管壓力推動數據本地化。歐盟AI Act、中國數據出境安全評估、各國醖釀中的Agent專項監管,都在推動企業減少數據跨境流動。自託管Agent在合規層面可能逐漸從劣勢變為優勢。

混合架構將成為主流。最終的勝出形態可能不是純雲或純本地,而是混合架構。雲端沙箱用於通用任務,本地執行用於敏感操作,兩者通過標準化協議(MCP、Google A2A)協同。企業可能同時使用Cowork處理日常文檔工作,用OpenClaw式的本地Agent處理涉及核心知識產權的任務。

安全視角的關鍵判斷

OpenClaw/Claude Cowork/Genspark/Manus,到底哪個才安全?

Agent安全基礎設施本身正在成為一個快速增長的領域。Cisco發佈了開源的SkillScanner工具,Palo Alto Networks發佈了Agent安全威脅分析框架,PromptArmor專注於提示詞注入檢測,LayerX在做AI瀏覽器安全評估。

OpenClaw類項目面臨的最大安全風險是社區治理能否支撐安全承諾。15萬GitHub星標很漂亮,但安全需要持續投入和專業審計。Cisco揭示的26%技能包漏洞率不是一個可以靠"社區自愈"解決的問題。

Cowork類產品面臨的最大安全風險是提示詞注入的攻防不對稱。防禦者需要堵住所有漏洞,攻擊者只需找到一個。Anthropic在安全文檔中的坦率措辭:"我們構建了複雜的防禦,但Agent安全仍然是全行業範圍內一個活躍的研發領域"。

結語

OpenClaw和Claude Cowork/Genspark/Manus,哪個更安全?回到AWS共享責任模型給我們的核心啓示:安全不是一個二元問題,而是一個責任分配問題。

OpenClaw給你100%的控制權和100%的責任,就像自己運營一個數據中心。

Cowork給你一個精心設計的沙箱和一組明確的安全承諾,但你必須信任Anthropic的防線:這道防線在提示詞注入面前仍非銅牆鐵壁。

無論選擇哪種架構,有一點是確定的:我們正處於Agent安全的"史前時代"。提示詞注入沒有根本解決,插件審計剛剛起步,行業標準尚未形成。今天的最佳實踐很可能在6個月後被證明是不夠的。

保持對安全邊界的清醒認知,可能比選擇正確的工具更重要。我們要時刻記住"最小權限原則"。如果你對自己有信心,可以用最可控的OpenClaw。否則可以嘗試Claude Cowork/Genspark/Manus。如果你完全不相信自己,或許可以暫時別使用這些工具。

關於作者

Hotcan,80後技術老炮兒和哲學愛好者

雲計算和數字化轉型的投資人和創業者

免責申明:本公眾號不以盈利為目的,內容僅供參考,個人及所屬公司對發佈的信息不作任何保證和承諾。如需轉載,請您註明出處和保持信息完整性。如有未註明作者及出處信息或圖片,請版權所有者聯繫我們,我們將及時補上,感謝您的辛勤創作。本文部分文字、圖像和視頻由AI生成,內容經由作者審核。作者對本文原創和AI生成的內容負責。

💬 留言