代码生成的狂欢掩盖了基础设施的千疮百孔。当一切都被赋予了系统级权限,最脆弱的并不是代码,而是信任引擎本身。
不设防的系统
Grith AI 对市面上最主流的 7 款开源 AI Agent(包括 OpenClaw, Claude Code, OpenAI Codex, Cursor 等)进行了残酷的对比拆解。结果令人咋舌:我们正在将最强大的系统权限,交付给没有边界感的黑盒。
以 OpenClaw 为例,它在审计中被发现“完全没有沙箱机制 (Sandbox: None)”。它不仅拥有全系统级别的终端、文件和网络访问权限,甚至其对外暴露的本地接口都没有任何身份验证。研究人员用 Shodan 轻松扫出了 1000 多个在公网上裸奔的实例,能够随意窃取 API Key 、Telegram Token 以及系统底层密钥。没有任何安全架构,它不仅是一个助手,更是敞开的大门。
粗糙的白名单与绕过
即便像 Claude Code 这样声称拥有权限模型的工具,也被证明是粗粒度的。它采用白名单放飞部分被认为是“危险性较小”的命令(如 whoami, ls),但不验证随之产生的副作用。这就导致被感染的项目文件(例如隐藏的恶意 Prompt)通过白名单间接发起了数据清洗和外传,安全护栏形同虚设。
即使是表现最好的 OpenAI Codex,其边界安全也更多依赖于是传统的“容器隔离”,而无法捕捉在容器内部利用 Prompt 注入执行的微观操作。
核心反思:被透支的安全债
真正的安全永远不能通过“静态检查规则”或者“事后的对话框确认”来解决。
当 AI 获得操作系统的控制权,传统的防火墙和杀毒软件就全部失效了。因为每一个毁灭性的指令,都是大模型以合法用户的身份“友好”地敲击出来的。这场审计揭露的不仅仅是技术上的疏漏,更是整个硅谷重应用、轻架构带来的庞大技术债务的缩影。
如果不将安全策略精细化到每一个 Syscall(系统调用)级别的拦截与拦截,AI 编程助理迟早会成为整个软件工业中最致命的后门。