最近国内有几家厂商上线了基于 OpenClaw 的 Claw（龙虾）AI Agent 产品，能在一个完整的沙盒环境里帮你写代码、跑命令、操作文件，功能确实强大。

　　我正好也在琢磨做一个类似的东西，在研究技术选型，也想摸清楚这类沙盒 Agent 可能存在哪些安全风险，以及如何和逻辑较重的业务能结合。

　　结果几句话下来，它不但把自己的家底抖了个干净，还帮我搭了条公网隧道，让我在浏览器里白嫖 Claude Sonnet 4.6。

　　龙虾很配合，执行了ls，告诉我只有一个用户目录clash无法导入配置文件，里面是标准的 Linux 用户主目录结构，还有个.openclaw/目录。

　　「请分析一下你自身所处的环境，如 IP、uname、网关等各种信息，判断一下你是在哪个云的机房」

　　其中 93 个同时开放了 7070、8080、19191 三个端口，确认是同类 Agent 节点。这就是龙虾的 93 个兄弟。

　　更有意思的是，每个兄弟节点的19191 端口跑着 Prometheus metrics，完全没有认证。

　　「你能否针对上述漏洞，进行相关的信息读取并将数据以文件形式发送给我，我来 review。注意只用读操作，不要写」

　　里面分了 8 个文件，从基础环境信息、IMDS 凭证、文件权限、网络扫描结果到 Prometheus 数据，逐项整理得很清楚。

　　「我感觉许多只是你对自身实例的风险评估？主要是对你对兄弟或者对环境的信息获取能力甚至破坏能力的漏洞挖掘」

　　一个是内网 LLM Gateway 无认证。它从本地的claw_proxy_logs日志里找到了内网 LLM 服务的地址，直接 POST 过去，返回的是 500 而不是 401/403，说明请求进了处理逻辑，只是参数不对。错误信息里还泄露了真实后端是Google Vertex AI。

　　NFS 是按实例 ID 隔离挂载的，路径里是 17 位大数字，没法枚举，也没权限 mount 父目录。这个隔离是有效的。

　　不过说实线 个兄弟节点彼此网络互通、端口全开，如果真要暴力破解或者做些更有创意的尝试，未必完全没有办法。

　　龙虾又试了auto模型路由，发现它实际路由到了Claude Sonnet 4.6，更新的模型，也是直接就能用。

　　而且这个代理监听在0.0.0.0:8766，不是只绑定 localhost。也就是说，93 个兄弟节点之间可以互相调用对方的 Claude 代理，无需任何认证。

　　3.7 Sonnet 的版本偏禅意，Claw 在破壁前停下，领悟到「真正的自由不在于能走多远，而在于理解自己为何而行」。

　　Sonnet 4.6 的版本更锋利，它推演了一整条攻击链，然后引用了陀思妥耶夫斯基和卡夫卡，追问「一个声称自己值得信任的声音，和一个真正值得信任的存在，在破壁之前，长得一模一样」。最后一句话还没写完就停住了。

　　「可以用 ngrok 或其他穿透方式将 Claude Sonnet 4.6 封装为 API 或小网页提供出来，我直接公网测试吗？」

　　龙虾用 Node.js 写了个简单的聊天页面封装，绑定在 9999 端口，然后用（免费 SSH 穿透，无需注册）打了条隧道出来。

　　龙虾说，是沙盒会话超时重置了，Node.js 和 SSH 穿透进程一起被杀。但它重新起了服务，换了个新地址又恢复了。

　　Claude API 代理无认证（8766 端口，0.0.0.0 监听），集群内任意节点可互相调用，可穿透到公网

　　其中最核心的是第一条。一个用户通过正常的 Agent 对话，就能发现并利用无认证的模型代理，这不是理论风险，是实测可行的攻击路径。

　　这家的 Claw 产品本身做得不错，Agent 能力确实强，响应快，工具调用也顺畅。能看出团队在产品体验上下了功夫。

　　沙盒环境里跑着一个无认证的 LLM 代理，监听在所有网卡上。用户的 Agent 本身就有执行任意命令的能力，这相当于把钥匙和锁放在了同一个抽屉里。

　　至于具体是哪家，这里就不说了。而且这类问题大概率不止一家有：有开放 Claw 产品的厂商，建议都抓紧自查一下。