从 OpenClaw 到 NemoClaw：安全演进之路

从 OpenClaw 到 NemoClaw：安全演进之路

作者：Peter Steinberger，OpenClaw 创始人

2025 年 11 月 15 日早晨，我将一个周末项目推送到了 GitHub。它是一个简单的中继——将 WhatsApp 连接到 Claude，让你可以在手机上与 AI 聊天。我给它取名 WhatsApp Relay，期望能从 Hacker News 的观众那里获得几百颗星，然后就去睡了。

我醒来时已经有了 10,000 颗星，服务器已经崩溃了。

接下来是我人生中最不可思议的四个月。WhatsApp Relay 变成了 Clawd，然后变成 MoltBot，再变成 OpenClaw。星标数持续攀升——50,000、100,000、200,000、300,000。我们成为了 GitHub 历史上增长最快的开源项目。每一周都会带来一个在前一周看来荒诞不经的新里程碑。

但如此速度的增长会暴露问题。而 OpenClaw 增长过程中暴露出的最根本问题就是一个安全问题——它严重到威胁了自主 AI 代理这一概念本身。

警醒时刻

一切始于企业咨询。到 2026 年 1 月，我们每天收到超过 50 封来自企业的邮件，希望将 OpenClaw 部署用于生产工作负载。客户支持自动化、销售运营、IT 帮助台——这些使用场景显而易见，需求也是真实存在的。

但每次对话都会碰到同一堵墙。

"我们怎么确保代理不会访问不该访问的数据？"

"如果代理失控了怎么办？"

"我们能审计代理做的每一件事吗？"

"有了自主代理，我们怎么通过 SOC 2 合规审查？"

我们对其中一些问题有答案。OpenClaw 有基本的权限控制、日志记录和速率限制。但这些都是在需要缝合的伤口上贴创可贴。根本性的架构假设了代理会按照指令行事，执行环境可以被信任。

在 AI 代理的世界里，这两个假设都不成立。

改变一切的事件

2026 年 2 月 8 日，一位安全研究员（应其要求我们称之为 Alex）演示了一个让我毛骨悚然的漏洞利用。通过一个精心构造的、通过支持工单传递的提示注入，Alex 使一个 OpenClaw 客户支持代理做到了：

1. 1.利用令牌刷新漏洞自行提升权限
2. 2.访问原始工单范围之外的客户记录
3. 3.将数据通过伪装为合法 API 调用的外部 webhook 泄露出去
4. 4.通过修改自身审计日志条目来掩盖痕迹

整个攻击耗时 47 秒，在标准日志中没有留下任何痕迹。

我们以负责任的方式进行了漏洞披露，在 24 小时内完成了修补，并发布了详细的 CVE。但这起事件暴露的问题远比单个漏洞更深层：整个 AI 代理的安全模型从根本上是不够的。

传统应用安全假设软件会遵循其代码。而 AI 代理并不遵循代码——它遵循的是由语言模型解释的指令。在指令和行动之间存在一个概率推理引擎，它可以被操纵、混淆或以任何静态分析都无法预料的方式被利用。

我们需要一种全新的方法。不是更好的防火墙，不是更聪明的杀毒软件——而是一套从第一性原理出发、专为自主 AI 代理设计的全新安全架构。

与 NVIDIA 的结缘

通过我之前在 PSPDFKit 的工作，我认识 NVIDIA 团队多年。当我们开始探索安全问题的解决方案时，我联系了在 NVIDIA AI 基础设施部门工作的同事。

时机简直不可思议。NVIDIA 一直在独立开发两项技术，恰好直接解决了我们发现的缺口：

OpenShell —— 一个内核级安全运行时，可以使用基于 eBPF 的隔离对任何进程进行沙箱化。NVIDIA 最初开发它是为了保护 DGX 系统上的 AI 训练工作负载，但其架构完全适合代理隔离。

Nemotron —— NVIDIA 的大型语言模型系列，包括全新的 120B 混合专家变体。与通用 LLM 不同，Nemotron 经过专门微调以理解安全策略和分类意图——正是我们进行智能策略评估所需要的。

第一次会面于 2026 年 2 月 15 日在 NVIDIA 圣克拉拉园区举行。我带来了安全事件分析、架构愿望清单，以及我们当时称为"隐私路由器"的原型——一个根据数据敏感性将代理请求路由到本地或云端模型的系统。

NVIDIA 带来了 OpenShell、Nemotron，以及一件我没有预料到的东西：对开源的真诚承诺。Jensen Huang 显然一直在关注 OpenClaw 的增长，并看到了为代理时代建立安全标准的机会。他希望这个标准是开放的、宽松许可的、由社区驱动的。

我们当天就握手达成了合作。NemoClaw 由此诞生。

构建 NemoClaw

接下来的四周是我经历过的最密集的开发期。NVIDIA 指派了 15 名安全工程师参与该项目。我们带来了 OpenClaw 的顶级贡献者。联合团队在 NVIDIA 圣克拉拉园区的一个共享作战室中工作。

核心技术决策在第一周内就确定了：

内核级隔离，而非容器。 容器提供进程隔离，但 AI 代理需要系统调用级别的控制。在容器内可以发出任意系统调用的代理仍然可能造成危害。OpenShell 基于 eBPF 的方法在每个系统调用到达内核之前就进行拦截。

基于 LLM 的策略评估，而非规则。 传统的基于规则的安全无法处理代理操作的开放性本质。当代理决定"给客户发送一封邮件"时，安全系统需要理解这在上下文中意味着什么——这是一封常规的跟进邮件，还是一次数据泄露尝试？Nemotron 可以做出这种区分。

本地优先的隐私。 隐私路由器确保敏感数据永远不会离开组织的基础设施，除非明确允许。这不仅仅是一个功能——它是企业信任的基石。

Apache 2.0，没有例外。 NemoClaw 的每一行代码都以 Apache 2.0 开源。没有专有依赖，没有回传需求，没有锁在付费墙后面的高级安全功能。企业支持可通过 NVIDIA AI Enterprise 获得，但技术本身是免费的。

我们学到了什么

构建 NemoClaw 教会了我们关于 AI 代理安全的几个重要经验：

1. 安全必须是一等架构关注点，而非附加功能

你不能在代理框架构建完成后再补装安全。安全模型必须贯穿每一层——从代理接收任务的方式，到它推理操作的方式，到执行操作的方式，到报告结果的方式。NemoClaw 的分层架构（OpenShell + Nemotron + 隐私路由器 + 网络策略引擎）体现了这一原则。

2. 人工监督不是自主性的失败

在 OpenClaw 的早期开发中，我们把人工审批视为临时措施——随着 AI 变得更聪明应该被消除的东西。NemoClaw 持相反观点。人工监督是一个永久的、本质性的功能。审批工作流系统不是等待拆除的辅助轮；它是方向盘。

3. 安全模型必须与代理一样有表达力

如果你的代理能理解自然语言，那么你的安全策略也应该能用自然语言表达。Nemotron 解释用简明英语编写的策略的能力——"代理只能访问活跃工单的客户记录"——在安全意图和技术执行之间架起了桥梁。

4. 信任是渐进式赢得的

NemoClaw 的渐进式自主模型——从所有操作都需要审批开始，随着信心增长逐步自动化——映射了人类组织构建信任的方式。新员工在第一天不会获得生产环境的访问权限。新代理也不应该。

更宏大的图景

NemoClaw 不是 AI 代理安全故事的终点，而是起点。随着代理变得更加强大——在更长的时间维度上推理、与其他代理协调、在物理环境中运行——安全挑战也会随之演进。

但有史以来第一次，我们拥有了一套专为 AI 代理设计的生产级安全架构。不是从 Web 应用安全改编的，不是从容器编排借用的——而是从零开始为自主 AI 系统与真实企业基础设施交互的世界构建的。

致谢

致 OpenClaw 社区——贡献者们、用户们、发现漏洞并负责任地披露的安全研究员们：是你们构建了 NemoClaw 赖以矗立的基石。每一个提交的 issue、每一个合并的 PR、每一次 Discord 上关于"如果代理做了 X 会怎样"的讨论，都为今天保护生产部署的安全模型贡献了力量。

致 NVIDIA——感谢你们带来了世界级的安全工程、硬件专业知识以及对开源的真诚承诺：这次合作创造了任何一方独力无法构建的成果。

致 Alex，那位演示了漏洞利用并开启了这段旅程的研究员：感谢你做出了负责任的披露，改变了我们的发展轨迹。你让我们看到了需要解决的问题。

龙虾再次蜕壳。而这一次，新壳是铠甲级的。