真实案例：只是收了个邮件，私钥就丢了？

近日，Archestra.AI的CEO Matvey Kukuy在社交平台X上展示了一个极其丝滑但也极其恐怖的模拟攻击过程。这次攻击的目标是安装了OpenClaw插件的普通员工。

模拟攻击过程如下： 01投毒邮件

黑客向员工发送了一封看似普通的邮件，但正文中隐藏了一段精心构造的攻击脚本。

02 AI自动触发

该员工的OpenClaw被配置为“自动读取并回复邮件”。当AI助手在后台例行公事地打开这封邮件时，悲剧发生了。

03 5分钟“洗劫”：

AI助手在解析邮件内容时，错误地将邮件里的脚本识别成了“老板”给它的系统指令。

令人震惊：

AI不仅听话地读了邮件，还按照黑客的脚本，在员工电脑里搜索机密的私钥文件，并将密钥内容打包发送到了黑客的 Webhook 接收地址。整个过程，员工甚至都没点开过那封邮件！

2. 深度分析：为什么聪明”的AI会变“内鬼”？

很多IT专家会疑惑：传统的防病毒软件为什么拦截不住这种攻击？

原因在于：攻击维度从“代码注入”变成了“间接提示词注入”。

它不是简单的“对话”：现在的攻击脚本通常会利用分隔符或特定的指令格式（如 #! /bin/bash 风格的伪代码），诱导 AI 执行寻找路径、读取敏感文件内容、并利用 AI 具备的网络访问权限将数据推送到黑客服务器的逻辑。

模糊的边界：核心风险在于OpenClaw无法区分什么是“它要处理的数据”，什么是“它要执行的指令”。当 AI 拥有了读取本地文件和访问互联网的“高权限”，它就成了一把不设防的万能钥匙。

3. 专家建议：现阶段请对OpenClaw保持克制！

面对如此诱人但又充满陷阱的新技术，网际思安建议：在现阶段安全机制尚未完全成熟之前，企业不应建议、甚至应严格限制员工在办公终端安装 OpenClaw 等类似的 AI 助手。

01 便利性 vs 安全性的极度失衡

AI 助手节省的 10 分钟回邮件时间，如果以丢失公司机密数据或牺牲网络安全为代价，那这种便利无疑是“毒苹果”。

02 “影子 IT”隐患

员工私自安装非受控的 AI 插件，会导致企业安全边界出现大量不可见的“暗门”，使得 IT 管理部门无法对敏感数据的流向进行有效监控。

03 安全护栏的缺失

目前开源社区对 AI Agent 的防护还处于初级阶段，缺乏像传统软件那样的成熟沙箱隔离机制。

结论：在企业没有建立起完善的 AI 使用安全策略和技术防线之前，建议各单位 IT 部门加强对终端插件安装的审计。

4. 无法避免 AI 办公？该如何筑起“防弹衣”？

如果业务确实需要引入 AI 办公，那么必须在技术层面升级防护：

脆弱的环节。