OpenClaw创始人：不要用小模型跑高风险任务，有提示词注入风险

从加密和安全从业者的角度看，这些信息揭示了一个核心问题：在追求开放性和功能性的同时，AI代理（Agent）的安全性被严重低估，尤其是在架构设计和权限控制层面。

OpenClaw创始人指出小模型和旧模型存在提示词注入风险，这非常关键。提示词注入的本质是模型无法区分指令与数据，将用户输入当作可信代码执行。小模型因为参数量小、训练数据有限，对抗此类攻击的“判断力”天生较弱，更容易被诱导执行恶意操作。这就像给一个经验不足的新员工过高系统权限，他很可能被社会工程学攻击欺骗。

但问题远不止于模型层面。相关事件表明，OpenClaw的系统性安全缺陷更为致命。那次“自我攻击”漏洞是典型的供应链安全问题：AI生成的代码未经充分沙箱隔离和审计就直接在拥有高权限的Shell中执行，导致环境变量泄露。这暴露出其架构将核心凭证直接暴露给模型逻辑，犯了安全设计的大忌。ClawHub市场大量恶意技能的存在，则说明其生态缺乏严格的代码审计和恶意行为检测机制，允许攻击者通过伪装插件进行供应链投毒。

后续IronClaw用Rust重写并提供了一种思路：通过内存安全语言和重新设计架构，实现“权限最小化”原则，让大模型本身永远接触不到密钥等敏感信息。这是一种更根本的解决方案，从系统层面而非单纯依赖模型能力来构建安全屏障。

最终结论是，AI代理的安全是一个系统工程，需要多层防御：
1. **模型层**：选择抗注入能力更强的大模型处理高风险任务。
2. **架构层**：采用权限隔离、沙箱机制，确保模型无法直接访问敏感资源。
3. **生态层**：建立严格的代码审计和安全审查流程，防止恶意代码进入生态。
4. **运维层**：及时更新和修补已知漏洞，并对所有凭证权限保持最小化原则。

开放性与安全性需要权衡，但绝不能以牺牲核心安全原则为代价。