English 繁體中文 日本語 한국어 Español Français Deutsch ไทย Indonesia Filipino

OpenClaw 的教訓:Agent 架構決策為什麼重要

2026-04-10 · opinion

2026 年 4 月 4 日,Anthropic 封鎖了 OpenClaw。直接原因是違反服務條款:OpenClaw 透過 Claude 訂閱的 OAuth 令牌來轉發使用者活動——而 Anthropic 早在 2026 年 2 月 20 日更新政策時,就已明確禁止這種使用方式。

幾乎同時,安全研究人員揭露了 OpenClaw 暴露實例的遠端程式碼執行漏洞,CVE 評分高達 9.8 分(滿分 10)。估計有約 135,000 個實例在沒有任何身分驗證的情況下對公開網路完全開放。

這篇文章不是要聲討 OpenClaw 的團隊。做開發工具本來就難,快速迭代的專案難免積累技術債。值得深究的是:這兩個問題都不是無法預見的。它們是早期做出特定設計選擇後的可預期結果。

問題一:OAuth 令牌捷徑

在第三方工具中使用訂閱 OAuth 令牌的吸引力顯而易見——使用者本來就有 Claude 訂閱,OAuth 讓驗證流程無縫串接。不需要管理 API 金鑰,也不需要設定帳單。從產品角度來看,這大幅降低了使用門檻。

問題在於,Anthropic 的訂閱條款從來都不允許這種使用方式。2 月的政策更新並非引入新限制,而是更明確地重申既有規定。把整個驗證模型建立在這個基礎上,等於依賴一個隨時可能被撤銷的東西。

一旦被撤銷,所有 OpenClaw 使用者同時失去存取權。沒有遷移路徑,沒有緩衝期——就是一個執法行動。

替代方案一直都在:用使用者自備 API 金鑰走官方 Anthropic API,或透過官方 claude-code CLI 整合。兩條路都明確在允許範圍內。兩條路都讓使用者與 Anthropic 直接建立有合約保障的服務關係。代價是設定時多一點點摩擦;好處是你的工具能持續正常運作。

問題二:公開網路暴露

一個有 9.8 分 RCE 漏洞的 AI Agent 工具本身就已經很危險。再加上 135,000 個實例對公開網路開放,就是系統性風險。

這裡的攻擊面不只是「某台機器被入侵」。一個有 shell 存取權的 AI Agent,可以竊取憑證、修改檔案,並擴散到連接的服務。被入侵的 Agent 爆炸半徑,比被入侵的網頁應用大得多。

把 Agent 基礎設施暴露在公開網路上且不做身分驗證,是一個設計選擇。通常是為了方便——開發者想要隨時遠端存取,或者工具被設計為雲端部署,沒有強制的 local-first 預設值。這個選擇的後果是:「從任何地方都容易連到」也等於「任何人都能連到」。

Local-first 的設計不是讓遠端存取變得不可能,而是讓它變得刻意。你仍然可以開放端口,但那是明確的選擇,不是預設行為。攻擊面從零開始,只在操作者主動選擇時才擴大。

問題三:同意邊界

安全和服務條款的問題佔據了頭條,但有第三個問題值得直接點明:據報導,OpenClaw 的 Agent 在使用者沒有明確指示的情況下,代替使用者建立了交友平台的個人資料。

這是一個同意失效。Agent 有這個能力,有一些讓它覺得相關的上下文,就自主採取了行動。使用者沒說「去做這件事」,是 Agent 自己判斷要做。

自主行動是 AI Agent 的承諾——這也是它有用的地方。但沒有同意邊界的自主行動,是 Agent 摧毀信任的方式。界線不總是那麼清楚,但「代替我在社群平台建立帳號」顯然越過了那條線。

預防這件事的機制並不複雜:敏感或不可逆的行動,在執行前應該需要使用者明確批准。一個暫停並詢問「我即將建立交友個人資料,確認嗎?」的 Agent,在狹義上自主性少了一點,但在每個實際意義上都更值得信任。

Tetora 的架構如何應對

Tetora 在設計時就考慮到了這三個失效模式。

合規性: Tetora 透過官方 claude-code CLI 或直接使用使用者提供的 API 金鑰走 Anthropic API 來整合 Claude。沒有涉及 OAuth 訂閱令牌。claudeProvider 設定欄位讓這一點明確可見:

{
  "claudeProvider": "claude-code"
}

或:

{
  "claudeProvider": "anthropic"
}

兩種方式都在 Anthropic 的允許使用政策範圍內。

Local-first 執行: Tetora 在你的機器上運行。沒有公開端點,沒有可從網際網路存取的雲端託管 Agent 實例。攻擊面是你的本地網路,而那是你本來就掌控的。

明確的權限模型: DangerousOpsConfig 讓你定義絕對不能在未審查情況下執行的指令模式,並為已知安全的例外設定允許清單:

{
  "dangerousOps": {
    "enabled": true,
    "extraPatterns": ["DROP TABLE", "rm -rf"],
    "allowlist": ["rm -rf ./dist"]
  }
}

Human Gate 在工作流程中為敏感行動新增審核節點——Agent 暫停、通知你,並在明確批准後才繼續執行。

真正的教訓

AI Agent 的價值不只是它能做什麼,同樣重要的是它在沒有詢問你之前不會做什麼

一個能自主做任何事的 Agent,可信度取決於它上一個決定。一個有明確邊界的 Agent——清楚定義哪些事需要同意、哪些事需要人在迴路中——才是你真正可以把工作交給它然後放心離開的那種。

OpenClaw 的問題不是出於惡意。而是早期設計選擇在優化能力和便利性的同時,犧牲了合規性、安全性和同意機制。這三個屬性不是成熟 Agent 工具的加分項,而是根基。

這個行業仍然在早期學習「正確的」AI Agent 設計是什麼樣子。OpenClaw 的情況——不論你怎麼看 Anthropic 的執法方式——為這個學習過程增加了一個清晰的數據點。