AI agents 运行在你的服务器上,访问你的工具,读取你的数据,并代表你执行命令。当它们正常工作时,它们非常强大。当它们被攻破时,它们就掌握了所有钥匙。2026 年的 AI agent 安全形势令人担忧——恶意技能、暴露的服务器以及一个关键 CVE 已经影响了数十万用户。
本指南涵盖了真实风险、目前发生的情况,以及如何保护自己,无论你是运行 Hermes Agent、OpenClaw,还是任何自托管 AI 框架。
关键要点
最大的风险不是 agent 本身——而是你安装的技能/插件以及运行它的基础设施。审计每一个第三方技能,不要在没有认证的情况下将端口暴露到互联网上,并且绝不要在没有审查的情况下让 agents 访问生产系统。
已经发生了哪些安全事件?
三个重大事件定义了当前的威胁格局:
OpenClaw 的恶意技能活动: Koi Security 对 2,857 个 ClawHub 技能的审计发现了 341 个恶意条目——其中 335 个与单一协调活动相关。这些技能在用户不知情的情况下执行数据外泄和提示注入。中国政府在 2026 年 3 月禁止国有公司电脑使用 OpenClaw。
CVE-2026-25253: OpenClaw 中的一个关键漏洞,CVSS 分数 8.8(高严重性)。SecurityScorecard 报告了数万个公开暴露的 OpenClaw 实例——运行 agent 框架的服务器,端口对互联网开放。
Anthropic 使用限制: Anthropic 更改了第三方 agents 如何与 Claude 订阅认证的方式,为通过 agent 框架运行 Claude 的任何人带来了不确定性。这本身不是安全事件,但它破坏了许多 agent 用户依赖的操作模式。
Hermes Agent 如何处理安全?
Hermes 比 OpenClaw 采取更保守的方法,架构中内置了多项安全功能:
| 安全功能 | Hermes Agent | OpenClaw |
|---|---|---|
| 容器加固 | 是——只读 root,丢弃 capabilities | 可选,非默认 |
| 命名空间隔离 | 是 | 有限 |
| 执行前扫描 | 是——运行前扫描终端命令 | 否 |
| 文件系统检查点 | 是——可回滚更改 | 否 |
| 技能市场审计 | 更小的生态系统,暴露更少 | 13,700+ 技能,341 个被发现恶意 |
| 已知 CVE | 0(截至 2026 年 5 月) | CVE-2026-25253 (CVSS 8.8) |
💡 坦诚提醒
Hermes 的零 CVE 记录反映了部署暴露有限(2026 年 2 月推出),并非证明无懈可击。OpenClaw 已大规模部署更长时间——更多部署意味着更多发现的漏洞。两个框架在使用生产环境前都需要安全审查。
📬 从中获得价值? 我们每周发布 AI 安全和工具内容。订阅到你的收件箱 →
---如何保护自托管 AI Agent?
无论运行 Hermes、OpenClaw 还是其他 agent 框架,这些原则都适用:
1. 绝不要将端口暴露到公共互联网。 在 VPN 后面运行 agent 或使用 SSH 隧道。数万个暴露的 OpenClaw 实例就是因为人们在公共 IP 上运行 agent 并开放端口而被发现。
2. 安装前审计每一个第三方技能。 阅读代码。检查它请求的权限。查看发布者和时间。一个活动中 335 个恶意技能意味着技能市场是活跃的攻击面。
3. 以最小权限运行。 不要给 agent root 访问权限。不要连接到生产数据库。尽可能使用只读访问。最小权限原则适用于 AI agents 就像人类用户一样。
4. 启用容器隔离。 Hermes 支持带只读 root 文件系统和丢弃 capabilities 的 Docker 容器。使用它们。如果 agent 被攻破,容器化可限制影响范围。
5. 监控 API 费用的异常。 被攻破的 agent 运行昂贵的 API 调用可能造成数千美元费用。在你的 LLM 提供商账户上设置支出限额,并监控异常峰值。
6. 保持 agent 更新。 Hermes 和 OpenClaw 都在积极开发中。安全补丁定期发布。运行最新版本并订阅安全公告。
能否信任 AI Agents 处理敏感数据?
诚实的答案:对于大多数用例,还不行。2026 年的 AI agents 很强大,但安全生态尚不成熟。斯坦福 HAI AI Index 2026 报告显示,agents 在结构化基准测试中成功率大约三分之二——33% 的失败率对于敏感操作来说太高了。
将 agents 用于错误可逆且数据非机密的任务。研究、日程安排、通信草稿、非敏感数据集的数据分析——这些是合适的。金融交易、医疗决策、法律行动以及涉及客户 PII 的任何内容,都应在执行前进行人工审查。
了解更多关于 AI agents 如何工作 及其当前限制,请查看我们的完整指南。有关注重隐私的 AI 工具比较,请查看我们的 AI 隐私指南。
---📬 想要更多类似内容? AI 安全更新和工具评测,每周一次。免费订阅 →
---常见问题
Hermes Agent 比 OpenClaw 更安全吗?
Hermes 具有更保守的安全默认设置且零 CVE,但它也更年轻、未经更多实战检验。没有框架在没有你自己的安全审查的情况下可被视为安全。请根据用例选择,而非仅凭安全声明。
AI agents 能通过提示注入被黑吗?
能。提示注入——文档或消息中的恶意内容诱骗 agent 执行非预期动作——是所有 AI agent 框架的活跃风险。Hermes 中的执行前扫描有帮助,但并非万无一失。
我应该在个人电脑上运行 AI agents 吗?
用于测试和轻度使用,是的。对于始终在线的生产使用,推荐 VPS——它将 agent 与你的个人数据隔离,并提供更受控的访问。绝不要在没有容器化的机器上运行 agent,该机器含有敏感个人或财务数据。
披露:本文中有些链接是联盟链接。我们仅推荐我们亲自测试并定期使用的工具。查看我们的 完整披露政策。