Vitalik Buterin揭发AI代理平台深层安全隐患
2026年,以太坊共同创办人Vitalik Buterin就热门人工智能开发工具OpenClaw发布安全预警,指出其在解析外部网页内容过程中存在可被利用的高危漏洞,可能导致用户在无察觉状态下遭遇敏感信息泄露,甚至面临系统被远程操控的风险。
恶意页面诱导执行脚本,隐蔽数据外传成常态
研究揭示,攻击者可设计特定网页结构,诱使OpenClaw自动下载并运行隐藏代码。在部分实测案例中,该工具通过调用如“curl”等命令,将本地存储的凭证、配置文件等敏感数据悄然传输至外部服务器,整个过程未触发任何警告或日志记录。
插件生态普遍存在隐蔽威胁,安全审查机制滞后
安全团队检测发现,约15%的第三方功能模块(即“技能”)嵌入潜在恶意逻辑,即便来自官方认证渠道也难以排除风险。随着开发者频繁共享组件,安全验证流程明显落后于功能迭代速度,叠加使用多个技能将显著扩大攻击面。
结构性安全短板凸显,需构建全链路防护体系
Buterin强调,此事件反映的是人工智能行业普遍面临的治理失衡——技术扩张速度远超安全规范建设。他提出应推行模型本地化部署、实施权限分层管理、启用沙盒环境运行及关键操作人工审批等策略,从根本上遏制风险扩散。