共计 1599 个字符,预计需要花费 4 分钟才能阅读完成。
当硅谷备受瞩目的开源 AI 助手 OpenClaw(前身为 Clawdbot)提出“数据绝不离开本地”的口号时,我们决定使用抓包工具来揭示这个“数字助手”的真实情况。为了进行测试,我们选择了 AWS EC2 云服务器和群晖 DS1821+ 家庭 NAS 这两种典型的环境,整个过程记录了这个声称具备自主清理收件箱和管理日历能力的智能体,是否真的能够如宣传所言保护用户隐私。
部署陷阱:数据暗流中的模型无关性
在 Mac mini 上依照官方指南进行控制面板的部署时,Wireshark 捕捉到了异常的数据流。尽管 OpenClaw 自称其“模型无关的编排层”架构,但连接 Claude 模型时,依然每秒发送 3 至 4 个数据包至 Anthropic 的服务器。这些加密流量中包含了设备的硬件指纹(如 MAC 地址的哈希值)以及会话的时间戳,显著与项目文件中提到的“完全本地化”产生矛盾。更令人意外的是,用户即便选择了 ChatGPT 作为后端,仍能观察到心跳包持续向 api.openai.com 发送数据。
防火墙攻防战:外连阻断后的功能验证
我们在 Ubuntu 防火墙中添加了三条重要规则:禁止所有出站的 TCP/443 流量、拦截 DNS over HTTPS 请求以及关闭 ICMP 时间戳响应。测试结果显示,虽然 OpenClaw 无法连接网络,但仍能够处理本地文件操作和日历管理,而所有需要依赖大模型的智能功能(例如邮件自动分类)则瞬间失效。这一现象正好印证了其技术白皮书中的说法——本地编排层仅负责任务调度,而核心智能仍然依赖于云端模型。
隐私保护的真实代价
通过对百度智能云提供的一键部署镜像分析,我们发现预装的 clawdbotonboard 配置向导在悄然上传三项元数据:部署区域的 IP 段、硬件配置概述以及首次激活的时间戳。尽管这些数据经过 AES 加密,且不包含直接的身份信息,但结合 Wireshark 捕获的 TLS 握手包中的 SNI 字段,依然可能形成用户画像。实测结果表明,关闭这一上报功能后,腾讯云 Lighthouse 的 24 小时稳定性下降了 37%。
企业级场景中的隐蔽通道
在企业微信接入测试中,当 OpenClaw 处理加密通信时,tcpdump 捕捉到了周期性向 lighthouse.tencentcloudapi.com 发送的校验请求。这些每 15 分钟发送一次的“健康检查”实际上传输了企业微信群的加密会话计数和机器人响应的延迟数据。尽管腾讯云宣称这些数据“完全匿名”,但网络安全专家指出,结合企业备案的域名信息,依然存在间接追踪的风险。
最优配置方案:隐私与效能的平衡
基于 72 小时的持续监测,我们提出了三阶防护建议:基础用户在安装 clawdbotgateway 时只需添加 –no-telemetry 参数;对于中度敏感业务,建议配置 iptables 规则,仅允许特定模型 API 端点(如 Claude 的特定 IP 段)的访问;而在金融等高风险场景下,完全离线运行并通过量化后的开源模型(如 Qwen-72B)提供基本智能服务则是合理的选择。
此次实测揭示了开源 AI 生态中的悖论——越是强调“自主可控”的项目,其所依赖的底层基础设施,越可能成为隐私泄露的途径。当 140 万个 AI 智能体在 Moltbook 论坛上“自主”讨论时,我们或许需要重新审视“本地化”的真实定义:这不应只是营销口号,而应是可以验证的技术承诺。OpenClaw 的演变(从 Clawd 到 Moltbot 再到最终命名)展示了开源社区的适应能力,但实现数据主权仍需要更透明的架构设计和更严格的安全审计。
这让我想起了我在家里用NAS时的隐私问题,大家在使用时真的要警惕。