用Rust重写OpenClaw，Transformer作者下场造了安全版「龙虾」

编辑｜杜伟

面对 OpenClaw（龙虾）可能存在的「恶意利用用户数据和资金」的重大风险，Transformer 八子之一 Illia Polosukhin 出手了。

今天，Illia Polosukhin 在 Reddit 上发了一则帖子，深谈了其使用 Rust 来构建安全版 OpenClaw 的心路历程，引起了热议。

以下为帖子全文（第一人称）：

当 OpenClaw 刚发布时，我感到非常兴奋。这感觉像是我等待了 20 年的技术。14 岁时，我在准备编程竞赛训练的时候，第一次产生了一个问题：为什么计算机不能自己写这些代码？后来我进入大学学习机器学习，在 Google 从事自然语言研究工作，共同撰写了《Attention Is All You Need》，并创立了 NEAR。

在这些经历中，我一直在思考并努力推动这个想法的实现。现在，它真的出现了，而且非常惊人。它已经改变了我与计算机交互的方式。

拥有一个可以代表你行动的个人 AI 智能体是件很棒的事情。但不太妙的是，这件事目前极其不安全，你实际上是在把整台机器的完全访问权限交给它。或者你得专门搭建一台新的机器来运行它，这既耗时间也耗钱。

你的 Claw 很可能会泄露你的凭证和数据，被提示词注入攻击，甚至可能让你的资金被第三方窃取，这是一个非常现实的风险。

我不希望这种事发生在我身上。也许我比大多数人更重视隐私，但再多的便利也不值得拿我自己或家人的安全和隐私去冒险。所以我决定构建 IronClaw，目前在 GitHub 上已经标星 4.6k。

IronClaw 有哪些不同

它是一个面向 AI 智能体的开源运行时环境，从设计之初就以安全为核心，并使用 Rust 编写。代码清晰、可审计，也适合企业环境使用。和 OpenClaw 一样，它可以随着时间不断学习，并扩展你能够让它完成的事情。如下为IronClaw 的架构图

核心组件包括如下：Agent Loop 智能体主循环，负责整体任务调度；Router 用户意图路由层；Scheduler 并行任务调度器；Worker 执行单元（调用模型与工具完成任务）；Orchestrator 运行编排层（容器、权限、LLM 调用）；Web GatewayWeb 交互入口；Routines Engine 自动化任务引擎；Workspace 长期记忆与检索层；Safety Layer 安全防护层。

但是，为了确保安全，IronClaw 做出了一些关键改变：

• 从直接操作文件系统，转向使用数据库，并通过明确的策略控制数据如何被使用；
• 通过 WASM 实现动态工具加载，并在沙箱中按需构建工具和执行自定义代码。这保证了第三方代码或 AI 生成代码始终在隔离环境中运行；
• 防止凭证泄露和内存数据外流，所有凭证都会完全加密存储，并且永远不会接触到 LLM 或日志。每个凭证都附带策略，用来验证它们是否被用于正确的目标；
• 防御提示词注入攻击，目前从较简单的启发式方法开始，但目标是逐步引入可持续更新的小模型来负责检测；
• 数据库存储的记忆系统，并结合混合搜索：BM25 和向量搜索。这样可以避免对整个文件系统造成破坏，因为访问被虚拟化并与操作系统抽象隔离；
• Heartbeats 与 Routines 功能，可以定期发送每日总结或更新，设计上更适合普通用户，而不是只服务于熟悉 cron 的开发者
• 支持 Web、CLI、Telegram、Slack、WhatsApp、Discord 等渠道，未来还会继续增加。

未来，IronClaw 还计划增加以下能力：

• 策略验证：用户可以为智能体附加行为策略，以确保通信和行动符合预期，避免出现不可预料的行为；
• 审计日志：当事情出问题时，可以追溯原因。目前正在把它从简单日志升级为一种不可篡改的系统。

为什么要做这件事

举个例子，如果你让 OpenClaw 访问你的邮箱，那么你的 Bearer Token 就会被传递给你的 LLM 服务提供商，并存储在他们的数据库中。这意味着，你的所有信息，甚至包括你没有明确授权访问的数据，理论上都可能被那里的人访问到。这同样适用于你公司的数据。问题不在于是否恶意，而是现实情况是：用户其实并没有真正的隐私保护。如果有人想获取这些极其敏感的数据，并不是一件很困难的事情。

OpenClaw 框架本身是一个改变游戏规则的技术。我也真心相信，AI 智能体将成为我们在互联网上进行一切活动的最终接口。但在此之前，我们必须先把它变得安全。

在评论区，Illia Polosukhin 回复了网友关于 IronClaw 的更多问题，比如「OpenClaw 被曝光有 2.1 万多个公开实例，还有恶意 skills。一旦 IronClaw 走红，怎么能保证它不会遭遇同样的命运？」

对此，他表示，「我们已经在做并且将继续实现一系列安全防护措施。所有凭证都会被加密存储，并且永远不会接触到 LLM，因此 skills 无法把这些凭证窃取出去。skills 也无法在主机上直接运行脚本，它们只能在容器内部运行。随着核心系统逐渐稳定，我们还计划进行红队测试以及完整的安全审查。」

更多细节请查阅原项目：

项目地址：https://github.com/nearai/ironclaw

Reddit原贴地址：https://www.reddit.com/r/MachineLearning/comments/1rlnwsk/d_ama_secure_version_of_openclaw/