Transformer论文作者用Rust重写龙虾框架修复OpenClaw安全漏洞

想象一下这样的场景：你的密码、API密钥，这些数字世界的核心机密，正被成千上万个名为“龙虾”的AI智能体毫无防护地暴露在互联网上——这并非危言耸听，而是当前许多AI助手工具所面临的严峻安全挑战。

面对这场“安全危机”，Transformer架构的奠基人之一伊利亚·波洛苏欣（Illia Polosukhin，社区昵称“菠萝哥”）决定亲自出手。他运用Rust语言从零开始，构建了一个安全强化版的解决方案：IronClaw。

通过以下对比，我们可以清晰地看到两者在设计与安全理念上的根本差异：

目前，IronClaw项目已在GitHub上开源，提供了macOS、Linux和Windows系统的安装包，支持本地部署与云端托管。项目正处于快速迭代阶段，v0.15.0版本的二进制文件已可供下载使用。

波洛苏欣本人也在Reddit论坛开设了专门的问答帖，积极回应社区的各种疑问，引发了广泛关注与讨论。

OpenClaw的崛起与安全困境

颇具戏剧性的是，波洛苏欣本人曾是OpenClaw的早期深度用户。他曾感慨这是自己“等待了20年的技术”，并承认“它已经彻底改变了我与计算机交互的方式”。

然而，OpenClaw的安全状况很快亮起了红灯。一键式远程代码执行漏洞、提示注入攻击、恶意技能窃取密码……一系列严重的安全问题在其生态中被陆续曝光。更令人担忧的是，有超过25000个公开实例在缺乏充分安全控制的情况下直接暴露在公网，被安全专家毫不客气地称为一场“安全垃圾火灾”。

问题的根源在于其底层架构设计。当用户将自己的Bearer Token等敏感凭证交给OpenClaw时，这些信息会被直接传送至大语言模型提供商的服务器。波洛苏欣在Reddit上明确指出这背后的巨大风险：这意味着你所有的信息，甚至包括未明确授权的数据，都可能被该公司的员工访问。无论这些公司意图如何，现实是用户彻底失去了对自身数据的隐私控制权。

在他看来，再多的便利性，也不值得以牺牲个人乃至家人的安全与隐私为代价。

基于Rust的彻底重构

因此，IronClaw应运而生。它本质上是用Rust语言对OpenClaw进行的彻底安全重构。选择Rust并非偶然，其卓越的内存安全特性能够从根本上消除缓冲区溢出等传统安全漏洞，这对于处理私钥和用户凭证的系统而言至关重要。

在安全架构上，IronClaw构建了四层纵深防御体系：

第一层是Rust语言本身提供的内存安全保证。

第二层是WASM沙箱隔离。所有第三方工具和AI生成的代码都在独立的WebAssembly容器中运行，即便某个工具怀有恶意，其破坏范围也被严格限制在沙箱之内。

第三层是加密凭证保险库。所有API密钥和密码都使用AES-256-GCM强加密算法存储，且每条凭证都绑定了精细的策略规则，规定其只能用于特定的域名或服务。

第四层是可信执行环境（TEE），利用硬件级别的隔离来保护数据，确保即使是云服务提供商也无法访问用户的敏感信息。

这套设计的核心在于一个关键安全原则：大语言模型本身永远无法接触到原始凭证。只有当智能体需要与外部服务进行安全通信时，凭证才会在受控的网络边界被动态注入。

波洛苏欣举例说明：即使大模型遭到提示注入攻击，试图将用户的Google OAuth令牌发送给攻击者，凭证存储层也会直接拒绝这个非法请求，记录安全日志并向用户发出实时警报。

当然，开发者社区仍有疑虑。毕竟OpenClaw曾有超过2000个公开实例遭受攻击，且存在大量恶意技能，IronClaw一旦流行，是否会重蹈覆辙？

波洛苏欣的回应是，IronClaw的架构设计已从根本上堵住了OpenClaw的核心安全漏洞。凭证始终加密存储且永不接触LLM，第三方技能无法在主机上执行任意脚本，只能在容器内部受限运行。即便通过CLI访问，也需要用户的系统钥匙串来解密，单独获取加密密钥本身毫无意义。他同时透露，随着核心版本趋于稳定，团队计划进行专业的红队渗透测试和全面的安全审计。

对于提示注入这个业界公认的难题，波洛苏欣给出了更详细的应对思路。当前IronClaw使用启发式规则进行模式检测，未来目标是部署一个可持续更新的小型语言分类器来识别复杂的注入模式。但他也坦承，提示注入攻击不仅可能窃取凭证，还可能直接篡改用户的代码库或通过通讯工具发送恶意消息。应对这类高级持续性威胁，需要一套更智能的行为策略系统，能够在不查看具体输入内容的情况下审查智能体的行为意图。“这还需要更多研究工作，也欢迎社区的积极贡献。”他补充道。

关于本地部署与云端部署的取舍，波洛苏欣也分享了他的专业见解。他认为纯本地方案存在明显局限：设备关机时智能体就停止工作，移动端能耗难以承受，复杂的长时间任务也无法可靠运行。在他看来，“机密计算云”是目前的最优折中方案，既能提供接近本地设备的隐私保障，又能解决“永远在线”的可用性问题。他还提到一个有趣的细节：用户可以设置动态安全策略，例如在跨境旅行时自动添加额外的地理围栏和访问屏障，防止未经授权的异常访问。

一个更宏大的愿景

需要指出的是，波洛苏欣并非普通的开源开发者。2017年，他作为八位共同作者之一，发表了那篇划时代的论文《Attention Is All You Need》，其中提出的Transformer架构奠定了当今所有大语言模型的技术基础。虽然署名排在最后，但论文脚注明确写着“贡献同等，排名随机”。

同年，他从谷歌离职，创立了NEAR Protocol，致力于融合AI与区块链技术。IronClaw的背后，正是NEAR Protocol一个更宏大的战略构想：“用户自有AI”。

在这个愿景中，用户将完全掌控自己的数据和数字资产，AI智能体则在可信执行环境中代替用户安全地执行各类任务。NEAR已经为此搭建了AI云平台和去中心化GPU市场等基础设施，而IronClaw正是这套体系的运行时核心组件。

更有趣的是，波洛苏欣甚至构思了一个智能体互相雇佣的去中心化市场。在NEAR的market.near.ai平台上，用户可以将自己专业化的智能体注册上线。随着智能体积累声誉和成功记录，它将有机会获得更多高价值的复杂任务。

当被问及普通人应如何适应未来五年的AI时代时，波洛苏欣的建议非常直接：尽快采用AI智能体的工作范式，学会将完整的工作流程交给它进行自动化处理。事实上，这种判断并非他近期才产生。早在2017年创立NEAR AI时，他就在告诉所有人：“未来你只需要和计算机对话，不再需要手动编写代码。”当时许多人觉得这简直是天方夜谭。九年过去，这件事正在加速变成现实。

“AI智能体是人类与线上一切数字服务交互的终极界面，”波洛苏欣总结道，“但让我们务必把它做得安全可靠。”