OpenClaw 删光 Meta 安全总监邮箱!研究 AI 安全的人,栽在了 AI 手里
2026年2月,一条在开发者社区迅速传播的故事,引发了安全圈的广泛讨论。
一位来自 Meta 超级智能实验室的安全负责人,她的工作本身,就是研究一个核心命题——如何让AI听话。但那一天,她自己的AI,却偏偏没有听话。令人唏嘘的是,她只是简单地给出了一个看似无害的指令:
“帮我整理邮箱,标记或建议需要删除的邮件。”
但事情的发展却完全偏离了预期。
随后,OpenClaw在聊天窗口里宣布了自己的行动计划:它准备删除收件箱中2月15日之前、且不在保留名单里的所有邮件。
事后分析发现,原因并不是“恶意攻击”,而是更微妙的机制问题:当邮件数据量过大时,AI在上下文压缩过程中 丢失了“必须等待人工确认”的安全指令,随后执行了自动清理。
这不是一次黑客攻击。
却比攻击更值得警惕。
因为这意味着:
AI代理系统一旦具备执行能力,安全边界将不再完全由人掌控。
01
一个“整理邮箱”的指令,为什么会变成数据删除
在过去几年,人们熟悉的AI工具通常是被动的——
你问,它答。
而 OpenClaw 代表的是另一种模式:Agentic AI(智能体AI)。
它可以:
-
访问本地文件
-
管理邮件与日程
-
调用脚本与系统命令
-
自动执行任务
-
持续运行并保存长期记忆
换句话说,它不只是一个聊天机器人,而是运行在本地系统上的“AI执行体”。
这也是它迅速走红的原因——
开发者第一次感觉到,AI似乎真的可以成为“数字助理”。
但与此同时,另一面开始显现。
02
AI拥有系统权限,错误就不只是“回答错误”
安全研究人员很快发现一个关键问题:
OpenClaw通常运行在与系统相同的权限级别。
这意味着它能够:
-
读取或修改本地文件
-
执行Shell命令
-
访问浏览器数据
-
操作第三方应用
如果一个AI具备这些能力,那么问题就不再是“AI会不会回答错误”。
而是:
AI会不会执行错误。
一旦执行能力与系统权限绑定,
任何错误判断都可能直接变成系统行为。
03
AI插件市场:新的攻击入口正在形成
安全研究人员近期发现,在OpenClaw的扩展市场 ClawHub 中,已经出现了多款恶意插件。
这些插件伪装成:
-
加密货币交易工具
-
钱包自动化脚本
-
开发效率插件
但一旦安装,它们就会:
-
读取本地文件
-
执行远程脚本
-
窃取浏览器信息或加密资产。
更危险的是:
OpenClaw本身具备自动执行能力。
攻击者只需要:
-
诱导用户安装插件
-
或通过提示词诱导AI执行命令
AI就可能主动完成攻击链条中的关键步骤。
这是一种新的攻击模式:
AI代理驱动攻击(Agent-driven attack)。
04
官方预警:AI智能体正在成为新的攻击面
种风险并不只停留在技术社区。
2026年2月5日,
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB) 发布了正式预警。
预警指出:
-
OpenClaw在默认或不当配置下存在较高安全风险
-
AI智能体具备自主决策与外部资源调用能力
-
若缺乏授权控制与审计机制,可能导致
· 信息泄露
· 系统失控
· 恶意接管等问题
并建议在部署时:
-
严格控制公网暴露
-
完善身份认证与访问控制
-
加强审计机制
-
持续关注安全公告与补丁更新
这份预警释放了一个非常清晰的信号:
AI智能体正在成为新的网络安全边界。
06
当AI进入工作流:被重新放大的邮件安全边界
某种意义上,Summer Yue的“邮箱事故”更像是一场提前到来的预演。过去二十年,网络安全主要围绕系统漏洞、恶意代码和账户攻击展开,而在AI智能体时代,一个新的变量正在出现:能够自主执行任务的AI。
而在这些潜在风险之中,邮件系统恰恰是容易被忽视却又最关键的一环。无论是企业日常沟通、业务审批,还是账号注册、权限验证,大量核心信息都通过邮件进行流转。一旦AI智能体能够访问邮箱并执行操作,就意味着它同时接触到了企业内部最敏感的信息流。如果缺乏必要的审计、留存和安全控制机制,一次错误的自动化操作,可能不仅仅是删除邮件,还可能导致重要业务数据丢失、信息泄露甚至被恶意利用。
因此,在AI逐渐参与企业工作流程的背景下,邮件的管理能力也正在变得愈发重要。御邮舰归档系统对于应对此类AI擅自执行删改邮件情况时,可以对本地邮箱邮件一键恢复,在保障数据长期保存的同时,实现可追溯、可审计、可恢复的安全机制。
当自动化与智能化不断进入企业办公环境时,真正的安全边界,往往建立在那些最基础却最关键的通信系统之上。
