沙盒无法让你摆脱 OpenClaw
请提供您希望翻译的正文内容(除代码块和 URL 之外的文本),我会按照要求将其翻译成简体中文并保留原始的格式。
OpenClaw 争议 (2026)
在 2026 年,截至目前,OpenClaw 已经:
……而这仅仅是两个月运营后的表现。
反应
(与技术相关的)世界正在作出回应。对不对齐 AI 的偏执正逐渐进入主流。
- X 和 LinkedIn 上充斥着提示注入的故事,以及伪装成警告的公司广告。
- 关于流氓智能的争论不再被翻白眼轻易驳回。
- 人们看到代理烧掉加密货币、删除收件箱,于是开始寻找解决方案。
不断出现的一种解决方案:沙盒。
沙箱 – 简要入门
沙箱并不新鲜。它们是 虚拟化 的一种应用,虚拟化可以追溯到 1960 年代后期 IBM 的大型机。核心目标一直未变:
沙箱将工作负载相互隔离,同时为每个工作负载提供完整机器的抽象。
当前趋势
今天流行的 “工作负载” 是 AI 代理。逻辑如下:
- 在沙箱中运行代理。
- 如果沙箱不 “泄漏”,代理就无法删除文件、读取加密钱包或清空收件箱。
- 结果: 我很安全。
现实检查
你 并不 安全。
- 上述事件都没有涉及直接的文件系统访问。
- 每个重大问题都涉及用户明确授予代理访问权限的 第三方服务。
- 代理被 提示注入 或误解了自己的指令,然后执行了不想要的操作。
- 没有任何沙箱可以阻止这种情况。
沙箱非常适合 隔离工作负载,但代理主要需要与 你 隔离。沙箱在这里提供的唯一保护是:
- 文件系统保护 – 阻止
rm -rf /。 - 网络保护 – 限制代理可以访问的网站。
两者都有用,但 远不足以保证安全。
核心张力
在以下两者之间存在固有的张力:
- 通用代理的有用性(例如 OpenClaw)。
- 安全部署所需的限制。
| 期望的功能 | 安全冲突 |
|---|---|
| 访问账户(例如日历、电子邮件) | 赋予代理账户访问权限会打开被滥用的大门。 |
| 访问金钱(例如订购杂货) | 允许使用信用卡会导致未经授权的购买。 |
人们设想 OpenClaw 是早期的 现实版 Jarvis——《钢铁侠》中为托尼·斯塔克管理大部分生活的个人助理。他们希望它能够:
- 预订航班。
- 谈判租金。
- 处理汽车保险理赔。
功能已存在。 防止被劫持却不存在。
市场真正需要的:代理权限
我们需要的不是另一个沙盒,而是一个针对代理的细粒度权限框架。
目标: 为每个账户的代理授予有限的操作自由度 (每个账户)。
示例:
- 连接信用卡,但仅允许 …
- 连接电子邮件,但仅允许向 少数预先批准的地址 发送/回复邮件,并对每条消息进行 用户批准。
当前状态:OAuth
OAuth 是为 人类用户 设计的。其权限粒度过于粗糙:
- Gmail:“发送邮件”(单一权限)。
- GitHub:“创建拉取请求”(单一权限)。
- 支付:基本上没有——我们只能依赖电子商务平台的善意(以及法律风险)。
代理需要 更细粒度的控制。
具体权限设计
Gmail 集成
- 按联系人预批准:用户浏览联系人并为每个地址设置权限:
- 无需批准直接发送
- 需要批准
- 队列系统:需要批准的消息会进入队列。用户手动批准后,触发回调给代理。
信用卡额度
- 绝不向代理暴露真实卡号。
- 每次购买令牌:代理为每笔交易请求一个 一次性信用卡号码。
- 策略强制:令牌仅授权特定金额 且 特定商户的交易。
- 用户调解:每个令牌请求必须由用户批准,确保代理永远看不到真实卡号,也不能重复使用先前的批准。
该模式可以扩展到我们想要连接到代理的 任何产品。关键要点:代理是一种根本新型的参与者,需要 全新的接口。
为什么它还不存在
- 跨不同平台的多样化权限模型(电子邮件、金融、社交媒体等)。
- 难以构建中间件,在所有产品之间强制统一模型。
- 需要 行业范围的标准 或 联盟驱动的 API。
Plaid 类比
市场需要的是下一个 Plaid——一个统一的 API,能够 将不同的运营商整合 成单一、连贯的权限层。
- 金融 是最合乎逻辑的首个战场:巨额的金钱利益使其成为早期采纳的首选。
结论
我们不需要另一个代理沙盒。
我们需要的是一个强大且细粒度的权限系统——类似于 AI 代理的 “安全带”,确保它们能够有用地行动,同时保持安全受限。
[Seatbelt](https://eapplewiki.com/wiki/Dev:Seatbelt), [bubblewrap](https://github.com/containers/bubblewrap), or [landlock](https://docs.kernel.org/userspace-api/landlock.html), and move on. It's not enough, but neither is anything else.:::note 如果你在当今没有防护栏的世界中构建代理,请联系 Tachyon,让我们对其进行漏洞审计。 :::