用Rust重写OpenClaw,Transformer作者下场造了安全版「龙虾」(rust重置)
(来源:机器之心)
编辑|杜伟
面对 OpenClaw(龙虾)可能存在的「恶意利用用户数据和资金」的重大风险,Transformer 八子之一 Illia Polosukhin 出手了。
今天,Illia Polosukhin 在 Reddit 上发了一则帖子,深谈了其使用 Rust 来构建安全版 OpenClaw 的心路历程,引起了热议。
以下为帖子全文(第一人称):
当 OpenClaw 刚发布时,我感到非常兴奋。这感觉像是我等待了 20 年的技术。14 岁时,我在准备编程竞赛训练的时候,第一次产生了一个问题:为什么计算机不能自己写这些代码?后来我进入大学学习机器学习,在 Google 从事自然语言研究工作,共同撰写了《Attention Is All You Need》,并创立了 NEAR。
在这些经历中,我一直在思考并努力推动这个想法的实现。现在,它真的出现了,而且非常惊人。它已经改变了我与计算机交互的方式。
拥有一个可以代表你行动的个人 AI 智能体是件很棒的事情。但不太妙的是,这件事目前极其不安全,你实际上是在把整台机器的完全访问权限交给它。或者你得专门搭建一台新的机器来运行它,这既耗时间也耗钱。
你的 Claw 很可能会泄露你的凭证和数据,被提示词注入攻击,甚至可能让你的资金被第三方窃取,这是一个非常现实的风险。
我不希望这种事发生在我身上。也许我比大多数人更重视隐私,但再多的便利也不值得拿我自己或家人的安全和隐私去冒险。所以我决定构建 IronClaw,目前在 GitHub 上已经标星 4.6k。
IronClaw 有哪些不同?
它是一个面向 AI 智能体的开源运行时环境,从设计之初就以安全为核心,并使用 Rust 编写。代码清晰、可审计,也适合企业环境使用。和 OpenClaw 一样,它可以随着时间不断学习,并扩展你能够让它完成的事情。如下为 IronClaw 的架构图:
核心组件包括如下:Agent Loop 智能体主循环,负责整体任务调度;Router 用户意图路由层;Scheduler 并行任务调度器;Worker 执行单元(调用模型与工具完成任务);Orchestrator 运行编排层(容器、权限、LLM 调用);Web GatewayWeb 交互入口;Routines Engine 自动化任务引擎;Workspace 长期记忆与检索层;Safety Layer 安全防护层。
但是,为了确保安全,IronClaw 做出了一些关键改变:
从直接操作文件系统,转向使用数据库,并通过明确的策略控制数据如何被使用;
通过 WASM 实现动态工具加载,并在沙箱中按需构建工具和执行自定义代码。这保证了第三方代码或 AI 生成代码始终在隔离环境中运行;
防止凭证泄露和内存数据外流,所有凭证都会完全加密存储,并且永远不会接触到 LLM 或日志。每个凭证都附带策略,用来验证它们是否被用于正确的目标;
防御提示词注入攻击,目前从较简单的启发式方法开始,但目标是逐步引入可持续更新的小模型来负责检测;
数据库存储的记忆系统,并结合混合搜索:BM25 和向量搜索。这样可以避免对整个文件系统造成破坏,因为访问被虚拟化并与操作系统抽象隔离;
Heartbeats 与 Routines 功能,可以定期发送每日总结或更新,设计上更适合普通用户,而不是只服务于熟悉 cron 的开发者
支持 Web、CLI、Telegram、Slack、WhatsApp、Discord 等渠道,未来还会继续增加。
未来,IronClaw 还计划增加以下能力:
策略验证:用户可以为智能体附加行为策略,以确保通信和行动符合预期,避免出现不可预料的行为;
审计日志:当事情出问题时,可以追溯原因。目前正在把它从简单日志升级为一种不可篡改的系统。
为什么要做这件事?
举个例子,如果你让 OpenClaw 访问你的邮箱,那么你的 Bearer Token 就会被传递给你的 LLM 服务提供商,并存储在他们的数据库中。这意味着,你的所有信息,甚至包括你没有明确授权访问的数据,理论上都可能被那里的人访问到。这同样适用于你公司的数据。问题不在于是否恶意,而是现实情况是:用户其实并没有真正的隐私保护。如果有人想获取这些极其敏感的数据,并不是一件很困难的事情。
OpenClaw 框架本身是一个改变游戏规则的技术。我也真心相信,AI 智能体将成为我们在『互联网』上进行一切活动的最终接口。但在此之前,我们必须先把它变得安全。
在评论区,Illia Polosukhin 回复了网友关于 IronClaw 的更多问题,比如「OpenClaw 被曝光有 2.1 万多个公开实例,还有恶意 skills。一旦 IronClaw 走红,怎么能保证它不会遭遇同样的命运?」
对此,他表示,「我们已经在做并且将继续实现一系列安全防护措施。所有凭证都会被加密存储,并且永远不会接触到 LLM,因此 skills 无法把这些凭证窃取出去。skills 也无法在主机上直接运行脚本,它们只能在容器内部运行。随着核心系统逐渐稳定,我们还计划进行红队测试以及完整的安全审查。」
更多细节请查阅原项目:
项目地址:https://github.com/nearai/ironclaw
Reddit原贴地址:https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/
