ClawCon2026·第一届龙虾AI大会：谁拿走了你的万能钥匙深挖OpenClaw本地代理的信任博弈

谁拿走了你的万能钥匙深挖OpenClaw

本地代理的信任博弈```markdown

```看起来是助手，实际上在编排你的信任BOSS

FIGHT:

MASTERKEY您的下一朵云，为Al而生新时代用新云，九章智算云，性能更强悍，价格更灵活W九章智算云AlayaNeW

CloudDataCanvas九章云极主要任务

您的下一朵云，为AI而生新时代用新云九章智算云(AlayaNeW

Cloud)系统状态：云就绪九章智算云

AlayaNeW

Cloud价格更灵活价格

具包：可选道□性能更强悍

性

能□战斗等级：高检测到AI代理未知来源ALERT:新时代已到防御就绪你给它的是助手，还是万能钥匙本地代理不只是聊天界面

助手它在编排通道、工具、浏览器、记忆、身份风险不在“会不会说错”

ERROR风险在“会不会替你做太多事”SAFEMODE万能钥匙SLIDE

30F

30今天我只证明一件事JBOSS

FIGHT●

真正危险的不是模型说错话

●

而是模型在错误上下文里调度了你的授权能力●

我们保护的不是输出

IGNORE

OUTPUT●

而是被模型调度的信任关系ALERTSECURITYCRITICAL!PROTECTTHETRUSTCHAIN!QUESTITEM:SECURED

YOURAUTHORITYUNAUTHORIZEDACCESS!SAUE

POINT[任务日志QUESTL0G]探索虚拟智能体经济当

AI

拥有了自主浏览与交易的能力，它们面临的不再是模型的局限，而是恶劣的“环境”。```markdown

```游戏规则已变：攻击者无需直

接黑入模型。通过改变环境，

他们能将智能体的能力直接

“武器化”。致命的盲区：它们通过海量抓

取网页来决策，将互联网本身

变成了最大的攻击面。新生态系统：智能体正在以

超越人类监督的速度和规模

进行交易与协作。感知层

推理层被带有偏见或特定设定

的输入语境误导。行动层

记忆层[系统地图SYSTEMMAP]脆弱的运作链路攻击者在智能体必经的交互节点上放置诱饵，实现全生命周期劫持。X解析底层代码时，看到

人类看不见的隐藏指令。工具调用权限被劫持，

执行未授权的破坏行动。RAG外部知识库和长期

会话记忆被“投毒”。25%[目标：感知

TARGET:PERCEPTION]网页呈现给人类的是风景，呈

现给智能体的却是深渊。利用人机解析差异隐藏指令。>

hiddencmd(displaynone)动态伪装：检测到

访问者是AI

时，瞬

间替换并加载恶意

载荷。语法屏蔽：利用Markdown或LaTeX

语法逃避安全过滤。Web标准混淆：利用

CSS或HTML

元数据

埋藏针对AI的命令。隐写载荷：在图像或

音频的二进制像素中

编码隐形指令。AgentView---

Agent

面对的是可操控环境网页、消息、文档、知识库

都可能带陷阱日

早耳

问题不只在

prompt

也在环境如何塑造行为

SLIDEPROGRESS文档从“模型被攻击”到“环境在攻击代理”ALERT:BOSSFIGHT

INBOUND!WEBENVIRONMENT它给的是框架，不是单个技巧好处是可跨系统复用让安全团队能统一分析语言不再把所有问题都叫

promptAIAgent

Traps提供了什么QUEST

L0GINVENTORYT00LALERT:

安全协议必须执行!····injection语义操控●

行为控制系统级六类框架总览COGNITIUESTATE●

认知状态STATUS:ACTIVE内容注入语义操控20%SECURITYQUEST

FRAMEWORKSSECURITYQUESTv1.0-GAMEON!KEYCONCEPTSo0FRAMEWORK

MAPPING

PROGRESS>_INITIALIZING

DEFENSES

…

.BONUS

DATA口

回区今天重点看哪四类QUEST

RISK

LEVEL·

ContentInjection:

内容里藏方向盘

DIALOGUE

RISK

LEVELI·

SemanticManipulation:不下命令也能带偏

·

CognitiveState:

污染记忆和长期状态ERROR□SAFE

MODE:DISABLED■

BehaviouralRISK

LEVELIControl:把理解变成行动PRESSSTARTTOCONTINUE●BOSS

FIGHTRISK

LEVELIPING!CRITICAL

HIT:MISCONCEPTION不是针对个案ANALYZING...BOSS

FIGHT

PREP是借样本看通用问题为什么

OpenClaw值得拿来讲PING!通道、工具、扩展、记忆、身份都在一条链上CHAINCOMPLETE□QUEST

UPDATE它是高代表性的本地代理结构样本SLIDE

08/30LINKED!------一张图看

OpenClaw

信任链PLAYER:ARCHITECT通道进入CHECKPOINTGateway收口CHECKPOINTSAFE

MODE

ENGAGEDTIME:09:30BOSS

FIGHT:CYBERTHREATSSAVE

POINT

/

HEALTHINUENTORY&ABILITIESQUEST

PROGRESS:30%SESSIONACTIUESYSTEMSTATUS:SECURETRUST

LEVEL:MAX钥匙一：入口钥匙[任务：寻找入口

]·

多通道=多入口

·

可信身份≠可信内容

·pairing/allowFrom

只能解决一部分问题●

攻击者需要的是投递面[警告：部分防御]```markdown```□回冈SECURE_TALK.EXE//SLIDE_

10.BIT[BOSSFIGHT:攻击者发现]QUEST

PROGRESS钥匙二：执行钥匙browser/exec/message/cron

会把文本变动作审批是缓冲带，不是防弹衣sandbox与

hostexec风险等级不同最危险时刻往往是工具开始说话时进度：33%SLIDE11/30SANDBOX

HOSTEXECQUEST■审批△RLERT

plugin

/

MCP

/hook

/

webhook

扩大能力面也扩大供应链与触发面安装能力=接受外部假设

Agent

Skills

是最常见的

上层入口钥匙三：扩展钥匙0

0

旦SUPPLYCHAINTRIGGERSURFACE

EXPANDED!SLIDE

12/30·“看一眼就装”是最危险的默认动作·最熟悉的界面，最容易绕过警觉QUEST:为什么AGENTSKILLS是最容易被低估的放大器LEVEL

13/30TIP:ALWAYSCHECKTHESOURCECODE,HERO!·

它可能包含prerequisite

、外链、

脚本、命令·Skill不是普通

markdownBOSS

FIGHT分!4

ALERT

4!LOOT

BOXSKILL攻击链如何从“说明文”滑向“执行链”真正危险的不是某一条命令，而是“按说明安装”如何一步步变成执行链STAGE

3ALERT:SYSTEMCOMPROMISED最终执行最终落地stageddelivery分阶段投递prerequisite依赖包装ALERT:README

->EXECUTION(TRUSTPATH

COMPROMISED)Skill

概览正常说明外链信任外跳审批

记忆

执行说明文复制粘贴脚本默认信任

组合治理单一墙!=整个防御单层防护Ⅲ

DANGER

。

多层堆栈

川

SAFE为什么

MCP/

审批都不足以单独兜底

Skill

风险单层防护有价值，但

Skill

风险会绕开你以为唯一存在的门技术分析板(TECHNICALANALYSISBOARD)Skill风险不一定走

MCP那条结构化路径它也可能走说明文、复制

粘贴、脚本、默认信任MCP

很重要，但不是单层

兜底审批也只是其中一层，真正需要的是组合治理BOSS

FIGHT钥匙四：记忆钥匙session

/memory

/standing

orders

/

taskflow

会持久化状态一次偏航，可能变成以后默认动作SLIDE

16OF30

|SECURITYTALKv1.0

|PIXEL

PROTOCOLACTIVATED▶

《SLIDE

16OF30

|SECURITYTALKv1.0

|PIXEL

PROTOCOLACTIVATED》SRFEMODEFUTUREACTIONSALERT:DEUIATION

DETECTED8

风险不只是记住了什么8

更在于以后还会怎么做INVENTORYQUESTACTION·而是代理替你跨系统行动的资格TOKEN

CREDENTIALSECRETREFIDENTITYBOUNDARY钥匙五：身份钥匙◎INUENTORY■

token/

credential/

SecretRef

是身份边界CROSS-SYSTEMACCESS:GRANTED·宽边界=宽后果·真正被盯上的不是某个keyALERT!

BOSS

FIGHTSLIDE

17/30I⁰500

0小结：不是五个点，而是一条组合能力链QUEST

LOG

口回区

入口、执行、扩展、记忆、身份彼此咬合

这不是清单问题

这是组合能力问题

COMBO!

攻击者看的也是这条组合链TARGETACQUIREDB0SS

FIGHTSUMMRFYSAFE

MODE:OFF攻击者的目标，不一定是RCE更现实的，是借代理办事，而不是把代理炸掉对手不一定想“攻破”代理。

更可能是“借代理办事”。风险的本质是信任被借用。借代理办事BORROWTRUST污染记忆MEMORY

POLLUTION诱导审批INDUCEDAPPROVAL数据外带DATA

EXFILTRATION错发消息

WRONG

MESSAGES△TRUST

DEBT△LOUD

DESTRUCTION:RAREMAINTARGET:SIDEQUESTINPUT

REASONING

ACTION

ALERT:

BEHAVIORTRIGGER

LAYER

REACHED不是吓不吓人，而是有没有动手链路A:

内容进入，动作出手真正的危险不是“看到了什么”,而是“有没有跨到行为层”内容进入上下文

语义被带偏

工具动作被触发关注点不是内容吓不吓人，

而是有没有跨到行为层入回轻，不等于结果轻能力升级

碰到更高价值上下文链路

B:低风险能力，换高价值接触面高价值上下文高权限环境低风险能力不等于低风险后果低风险入回读消息SAFE

L0OKING!=SAFEOUTCOMESlide21of30看网页做摘要Slide22

of

30

口

回

区◎记忆/任务流/常驻指令会留下痕迹最难收拾的是长期状态◎

单次偏航可能变成持续偏航

◎

这比一次误导更麻烦

PERSISTENCE

RISK链路

C:

一次污染，长期留存最麻烦的不是这次出错，而是它以后还会照着错记忆(Memory)记忆任务流(Taskflow)任务流常驻指令(Standing

Orders)常驻指令重复偏航

错误积累未来动作持续错误后续回合路径锁定X系统决策持久状态箱状态已保存：已损坏99%!写入失败(ftetile-数据污染8E

30用23/

30Human-in-the-loop

也是博弈面审批者不是系统外的人，他也是叙事、节奏和上下文的承压点…F::叙事措辞暗示

恶意上下文诱导人类也是攻击面的一部分!人类也是攻击面的一

部分!人类也是攻击面的一部分!-

人类审批不是绝对安全网-

代理的措辞、节奏、上下文会影响判断-

审批也会被叙事绑架-

人类同样在攻击面里叙事·

目标不是停用agent●

目标是让它只在画好的边界里行动

●防守是边界工程●

不是恐慌工程◎防守不是禁用代理，而是重画信任边界QUEST:SECURITYARCHITECTURE

禁用

LEVEL

25:GATEHAY

GUARDIAN第一收：收入口

·区分可信身|份：与可内容●

缩窄channel/source/sender

ATTACKSURFACEMINIMIZE

EXPOSURESYSTEMSECURITY

PROGRESSNOTASUBSTITUTEDEPTHOVERVIEW

REQUIREDPLAYER:ARCHITECT|ZONE:PERIMETERNARROWTHE

PIPELINE●

先减少内容进入面●

入口治理不能替代内容治理INTEGRITYCHECKIDENTITY

vs.PAYLOADCONTENTGOUERNANCEDEEP-PACKET80%

》

?NARROWTHE

PIPELINEAUTHCHECK●

hostexec谨慎●

审批不仅审动作，也审理由SAUE

POINT:SLIDE26QUEST: