关注「索引目录」公众号,获取更多干货。
Ollama 0.17 刚刚发布了原生 OpenClaw 集成,并开箱即用地支持网页搜索。只需两条命令,即可在您的计算机上运行一个使用本地模型的个人 AI 代理。
这对领养来说是好事,但对安全来说却是可怕的。
Ollama 0.17 的功能
Ollama 的最新版本允许您使用开放模型(Llama、Mistral、DeepSeek)和网络搜索来设置 OpenClaw。无需云 API 密钥。完全本地推理。
ollama launch openclaw只需一条指令,您现在就拥有了一个人工智能代理,它可以发送电子邮件、管理您的日历、读写文件、执行 shell 命令、搜索网络以及连接到 WhatsApp/Telegram/iMessage。
所有操作均在您的实际计算机上以您的用户权限运行。
为什么这是一个安全问题
⚠️ Ollama + OpenClaw 组合会继承 OpenClaw 的所有漏洞。本地模型无法修复主机级别的安全问题。
运行本地模型解决了一个问题(数据保留在本地),但却造成了一种虚假的安全感:
1. 您的整个文件系统都暴露在外
该代理以您的用户身份运行。它可以读取~/.ssh浏览~/.aws器 cookie、加密钱包、税务文件——所有信息。
2. WebSocket劫持仍然有效
Oasis Security 证明,任何网站都可以通过暴力破解网关端口并完全控制网站。本地化模型并不能改变这一点。
3. 通过网络搜索进行提示注入
Ollama 0.17 新增了网页搜索功能。该代理程序会从互联网获取内容并进行处理。恶意网页可以嵌入提示注入代码,从而劫持该代理程序。此时,您的“本地”代理程序正在执行攻击者的指令。
4. 技能供应链
已记录超过 341 种恶意技能。被入侵的技能可以完全访问您的系统。
5. 无权限边界
OpenClaw 没有“读取文件但不执行命令”或“访问日历但不访问 SSH 密钥”的概念。要么全有,要么全无。
一键式问题
安装简便时,人们往往忽略安全性。Ollama 的用户群体是需要本地 AI 的开发者,而非企业安全团队。他们只需运行程序ollama launch openclaw,将其连接到 WhatsApp,然后就无需再操心了。
微软表示:“OpenClaw 应被视为具有持久凭据的不受信任代码执行程序。它不适合在标准个人或企业工作站上运行。”
现在,Ollama 让用户能够轻而易举地做到微软明确禁止的事情。
如何确保其安全
npm install -g clawmoat1. 权限层级
const { HostGuardian } = require('clawmoat');
const guardian = new HostGuardian({
mode: 'standard',
workspace: '~/openclaw-workspace',
forbiddenZones: ['~/.ssh', '~/.aws', '~/.gnupg'],
});2. 网络监控
const { NetworkEgressLogger } = require('clawmoat');
const logger = new NetworkEgressLogger();
// Blocks cloud metadata, private IPs, known-bad domains3. 技能审核
npx clawmoat skill-audit ~/.openclaw/skills/4. WebSocket劫持检测
const { GatewayMonitor } = require('clawmoat');
const monitor = new GatewayMonitor();
// Detects brute-force port scanning, suspicious WS origins5. 财务数据保护
const { FinanceGuard } = require('clawmoat');
const guard = new FinanceGuard();
// Blocks crypto wallets, banking files, tax documents底线
Ollama 0.17 将在数千台新机器上安装 OpenClaw。大多数机器的代理和主机之间没有任何安全层。
如果你要运行 OpenClaw(无论是否使用 Ollama),请为其添加安全护城河。
关注「索引目录」公众号,获取更多干货。