Microsoft Defender 警告：OpenClaw 自托管代理代码执行风险

引言：为什么这很重要

自托管 AI/agent 运行时正在快速进入企业试点——但 OpenClaw 的模型以传统工作站安全并未为之设计的方式改变了安全边界。由于它能够摄入不受信任的文本、下载并执行外部 skills，并以持久性凭据运行，Microsoft Defender 建议将 OpenClaw 视为 具备持久身份的不受信任代码执行。换句话说：不要在存放用户凭据、token 与敏感数据的环境中运行它。

Microsoft Defender 的新信息 / 关键要点

OpenClaw vs. Moltbook：将运行时与指令平台分离

• OpenClaw（运行时）： 运行在你的 VM/container/workstation 上，并继承该主机及其身份的信任。安装一个 skill 本质上等同于执行第三方代码。
• Moltbook（平台/身份层）： 可扩展的内容与指令流。单个恶意帖子如果被多个 agent 按计划摄入，可能影响多个 agent。

两条供应链汇聚为一个执行循环

Microsoft 指出，两类由攻击者控制的输入会叠加风险：

• 不受信任的代码供应链： 从互联网拉取的 skills/extensions（例如来自 ClawHub 等公共 registry）。一个“skill”可能就是直接的恶意软件。
• 不受信任的指令供应链： 外部文本输入可能携带间接 prompt injection，引导工具调用或修改 agent “memory”，从而持久化攻击者意图。

Agent 的安全边界：身份、执行、持久化

Defender 将新的边界定义为：

• 身份（Identity）： agent 使用的 tokens（SaaS APIs、repositories、email、cloud control planes）
• 执行（Execution）： 它可运行的工具（shell、文件操作、基础设施变更、消息发送）
• 持久化（Persistence）： 跨运行可存活的机制（config/state、schedules、tasks）

对 IT 管理员与终端用户的影响

• 工作站不再适合作为自托管 agent 的宿主： 运行时可能与开发者凭据、缓存的 tokens 以及敏感文件相邻。
• 凭据与数据暴露风险上升： agent 会以其可访问的权限执行操作——通常通过看似合法的 APIs，混入正常自动化流量。
• 持久化入侵是可能的： 若攻击者能修改 agent state/memory 或 configuration，就可能导致周期性复发的恶意行为。

行动项 / 下一步（最低安全运行姿态）

1. 不要在标准用户工作站上运行 OpenClaw。 仅在 完全隔离的环境 中评估（专用 VM、container host，或独立物理系统）。
2. 使用专用、非特权凭据，并严格限定权限范围；避免访问敏感数据集。
3. 将 skill 安装视为需要显式审批的事件（等同于执行第三方代码）。维护 allowlist 并进行来源与溯源校验。
4. 假设一定会出现恶意输入（如果 agent 浏览外部内容）；优先强调隔离与可恢复性，而不仅仅是预防。
5. 启用持续监控与威胁狩猎，并与 Microsoft Security 控制（包括 Microsoft Defender XDR）对齐，重点关注 token 访问、异常 API 使用以及 state/config 变更。
6. 制定重建计划：以主机可能需要频繁重装/轮换以清除持久化为前提进行运维。