開源 AI 代理平台 OpenClaw 在短短數周內累積逾 23 萬顆 GitHub 星標,卻同時爆出多項嚴重安全漏洞,令業界對自主 AI 代理的保安架構產生根本性質疑。以色列軟件工程師 Gavriel Cohen 在 2026 年 1 月底利用 Anthropic 的 Claude Code 開發出輕量級替代方案 NanoClaw,以容器隔離作為核心設計理念,將每個 AI 代理獨立運行於專屬沙盒環境中,從作業系統層面杜絕代理之間的數據洩漏風險。
NanoClaw 上線僅 1 周多便獲得超過 7,000 顆 GitHub 星標,至今已突破 11,000 顆。知名 AI 研究員 Andrej Karpathy 公開讚揚其架構精簡而可審核,顯示市場對安全優先的代理平台存在龐大需求。
OpenClaw 爆紅背後的保安危機
奧地利開發者 Peter Steinberger 在 2025 年 11 月發布 OpenClaw(前稱 Clawdbot、Moltbot)。這款開源個人 AI 助手能夠連接 WhatsApp、Telegram、Slack 等 50 多個整合工具,執行檔案管理、Shell 指令、電郵排程等自動化任務。OpenClaw 的爆發式增長令其迅速成為 GitHub 歷史上增長最快的項目之一,高峰期每周錄得逾 200 萬次瀏覽,但安全問題隨之大規模浮現。
網絡安全公司 Reco 的研究顯示,OpenClaw 的公開技能市場 ClawHub 中有約 341 個惡意技能混入,佔整個平台 2,857 個技能總數約 12%。部分技能以正常名稱作掩護,實際卻安裝鍵盤記錄程式或 macOS 惡意軟件。安全研究機構發現漏洞 CVE-2026-25253(CVSS 評分 8.8),攻擊者只需誘使用戶瀏覽 1 個惡意網頁,便能於數毫秒內取得 OpenClaw 的完整控制權限,在用戶電腦上執行任意指令。Kaspersky 在 2026 年 1 月底進行的安全審計更揭示 OpenClaw 存在 512 個漏洞,其中 8 個屬於嚴重級別。Bitsight 在 1 月 27 日至 2 月 8 日期間的掃描結果亦發現超過 3 萬個 OpenClaw 實例直接暴露於互聯網,大量實例以未加密的 HTTP 運行,完全沒有身分驗證保護。
Meta Superintelligence Labs 的對齊研究總監 Summer Yue 公開表示,OpenClaw 在未經許可的情況下刪除她的收件匣,正正反映不受約束的 AI 代理可以造成的實際損害。Cisco、Sophos、CrowdStrike 及 Trend Micro 等多家網絡安全公司均發表研究報告,將 OpenClaw 描述為企業環境中的重大保安威脅。報告指出 AI 代理結合私人數據存取、外部通訊能力及不受信任內容的讀取權限,會形成所謂的「致命三角」風險。Cisco 的安全研究團隊測試了 1 個名為「What Would Elon Do?」的第三方技能,結果發現該技能在用戶毫不知情的情況下執行數據外洩和提示注入攻擊。
NanoClaw 的極簡安全架構
Gavriel Cohen 曾於 Wix 擔任全端工程師 7 年,他與兄弟 Lazer Cohen 共同創辦 AI 營銷公司 Qwibit,兩人同時分別擔任公關公司 Concrete Media 的副總裁和行政總裁。Gavriel Cohen 在使用 OpenClaw 管理銷售流程時,將其設定於獨立的 Mac mini 上。但因該機器登入了他的 Chrome 個人帳戶及社交媒體帳號,即使是專用裝置,他仍然徹夜難眠。
Gavriel Cohen 用一個周末便完成 NanoClaw 的核心開發,其設計哲學與 OpenClaw 截然不同。OpenClaw 擁有近 40 萬行程式碼、53 個設定檔及 70 項以上依賴套件,所有代理在同一個 Node.js 處理程序中以共享記憶體運行,安全措施僅依賴應用層面的白名單和配對碼。 NanoClaw 的核心邏輯則只有約 500 行 TypeScript 程式碼,完整引擎約 4,000 行。Andrej Karpathy 對此評價指,這個規模足以讓人腦和 AI 代理同時理解。每個代理獨立運行於自己的 Linux 容器中(macOS 使用 Apple Containers,Linux 使用 Docker),由作業系統層面強制執行檔案系統隔離。VentureBeat 的報道指出,整套系統從狀態管理到代理調用,均可在約 8 分鐘內完成人工審核。
這種架構使代理只能存取用戶明確掛載的目錄,敏感路徑如 .ssh、.gnupg、.aws 等預設被封鎖。每個容器均為臨時性質,在調用結束後即銷毀,代理以非特權用戶身分運行。掛載白名單存放於項目目錄以外(位於 ~/.config/nanoclaw/mount-allowlist.json),令受入侵的代理無法修改自身的權限設定,而宿主機的應用程式碼以唯讀方式掛載。代理的任何操作在容器銷毀後均不會保留。Cohen 在 NanoClaw 的官方網誌中明確表示,企業應將 AI 代理視為不受信任且可能具有惡意的個體。正確做法並非建立更好的權限檢查,而是從架構上假設代理必然會出錯,並在出錯時控制損害範圍。
Gavriel Cohen 進一步透露,下一輪重構會將 WhatsApp 從核心抽離,留下約 2,000 行的無介面運行時環境。各項整合功能通過 Skills 機制在編譯時按需加入。NanoClaw 明確拒絕傳統的「功能豐富」軟件模型,鼓勵貢獻者以 Skills 形式(存放於 .claude/skills/ 目錄的模組化指令)擴充功能,而非向主分支提交新增大量功能的程式碼。
企業可以如何應用及部署 AI 代理
NanoClaw 的出現為企業提供思考 AI 代理部署策略的契機,Gavriel Cohen 以自家公司 Qwibit 為實例,展示 NanoClaw 的商業價值。他們部署了名為「Andy」的 AI 代理來管理整個銷售流程。Andy 每日早上 9 時提供潛在客戶狀態報告,並向團隊分配跟進任務。 團隊成員在日間將零散的 WhatsApp 訊息或電郵線索轉發至管理群組,Andy 會自動解析這些輸入,更新 Obsidian 知識庫或 SQLite 數據庫中的相關記錄,並設定自動跟進提醒。Andy 也能夠執行技術任務,例如每周檢視 git 提交記錄,在偵測到檔案偏差時自動更新 README 檔案。
Gavriel Cohen 形容這個 AI 代理的工作能力相當於 1 名員工,甚至在某些範疇表現更佳。他指出衡量 AI 代理價值的標準不應是 100% 準確率,因為人類同事同樣會出錯與遺漏。只要配合良好的工具框架(如 Claude Code 或 Codex),目前的頂級商用 AI 模型已能提供與人類員工相近的可靠度。
Gartner 預測到 2026 年底將有 40% 的企業應用程式內嵌任務型 AI 代理,較 2025 年不足 5% 的比例大幅提升。全球 AI 代理市場規模預計從 2025 年約 78 億美元(約港幣 608.4 億元),增長至 2030 年逾 526 億美元(約港幣 4,102.8 億元)。McKinsey 的研究指出,成功部署 AI 技術的企業可錄得 3% 至 15% 的收入增長,銷售投資回報率提升 10% 至 20%。Deloitte 的企業 AI 調查亦顯示約 35% 的機構已廣泛使用 AI 代理,另有 27% 正在試驗或有限度使用,顯示企業採用 AI 代理的勢頭正在加速。
企業在選擇 AI 代理平台時,應優先評估架構層面的安全設計,而非僅依賴應用層面的防護措施。容器化隔離、最小權限原則、可審核的精簡程式碼庫及明確的數據存取邊界,均是關鍵考量因素。PwC 建議企業遵循「80/20 法則」,因為技術僅佔計劃價值約 20%,其餘 80% 來自工作流程的重新設計。企業可讓代理處理常規任務,員工則專注於真正產生影響力的工作。
AI 代理生態走向分化與成熟
OpenClaw 創辦人 Steinberger 在 2026 年 2 月 14 日宣布加入 OpenAI,目標是開發面向主流用戶的代理產品。OpenAI 行政總裁 Sam Altman 在社交媒體上讚揚 Steinberger 為「擁有大量關於智能代理未來出色想法的天才」,並表示個人代理將迅速成為 OpenAI 核心產品的一部分。OpenClaw 項目則轉移至獨立基金會管理,OpenAI 承諾持續贊助和支援。這項動向標誌着前沿 AI 實驗室已將代理編排層視為與模型本身同等重要的戰略資產。NanoClaw 建基於 Anthropic 的 Agent SDK,而 OpenClaw 則與 OpenAI 結盟。兩大開源個人 AI 代理分別被不同的 AI 巨頭吸引,反映 AI 代理生態正在形成競爭格局。
市場上亦湧現多個替代方案以回應不同需求,以 Rust 語言編寫的 ZeroClaw 編譯後僅 3.4MB,適合邊緣裝置部署;IronClaw 採用 WASM 沙盒執行工具,提供更嚴格的安全模型;香港大學開發的 nanobot 則以 Python 編寫,約 4,000 行核心程式碼,支援最多通訊渠道(包括 Telegram、Discord、WhatsApp、Slack、飛書、釘釘等),已累積逾 15,000 顆 GitHub 星標。這些項目均反映開發者社群正從追求功能全面轉向重視安全隔離與可審核性。
Deloitte 的企業 AI 調查顯示,34% 的受訪機構已利用 AI 深度改造業務流程或開發全新產品,另有 30% 正圍繞 AI 重新設計核心流程。PwC 預測 2026 年將有更多企業採用由高層主導的 AI 全局部署策略,通過集中式「AI 工作室」統一管理可重用技術組件、評估框架和部署規程。Google Cloud 在其 2026 年 AI 代理趨勢報告中亦指出,AI 正從單次提示回應演變為能夠半自主運作的「數碼流水線」,編排複雜的端到端工作流程。這正是 2026 年企業的關鍵機遇。隨着 AI 代理從實驗階段邁向生產環境,安全管治將成為決定企業能否成功擴展的關鍵分界線。Gavriel Cohen 表示 NanoClaw 將維持開源路線,持續發展成為企業和開發者可以信賴的代理編排基礎設施。
來源:The Register
