
最近一段时间与 AI Agent 相关的安全黑天鹅事件频繁发生。从我亲身经历的《安装OpenClaw 后 Telegram 账号被劫持:一次价值5000美金的真实诈骗事件复盘》,在《Fort:一条命令审计并自动加固 Mac》中提到了 X用户 @Barret_China 的 最新遭遇 ,再到屡见不鲜的开源包供应链投毒。
这类新型攻击最令人毛骨悚然之处在于:它们与传统的病毒、木马截然不同,几乎全部潜伏在“合法授权”的框架内。底层系统权限是我们亲手赋予 Agent 的,恶意的 AI Skills 是我们主动安装的。面对这种“引狼入室”的越权操作,传统的安全配置与审计工具往往形同虚设。
当黑盒变灰,防线从内部被攻破,我们究竟该如何在 Windows 与 macOS 双平台上,防范 AI Agent 与供应链的致命一击?
1、涉及的核心风险
Session 令牌窃取:Agent 或恶意 skill 读取本地 session 文件(如 Telegram tdata、浏览器 cookie),直接克隆现有登录态,绕过 2FA/邮箱验证。
Agent 权限过大:shell 执行、文件读写、网络访问。
供应链攻击:npm/pip/Docker 依赖投毒,Agent 自动安装包时中招。
2、Session 令牌窃取风险防范
2.1、攻击原理
浏览器 Cookie 被盗:大部分的互联网服务都依赖浏览器 Cookie / Session Token 来保持登录状态,攻击者如果偷走浏览器 Cookie,就可能绕过密码、2FA、Passkey ,直接以你的身份访问账号。
Telegram tdata 被复制:Telegram Desktop 等客户端将完整 session 信息(tdata)存放在本地文件夹。如果恶意软件、恶意 Agent Skill、恶意 npm/pip 包、PowerShell 脚本或远程控制工具读取并打包上传这个目录,攻击者就可以在另一台机器上恢复你的 Telegram 登录状态。
类似风险还包括MetaMask等加密币钱包扩展Storage session、SSH agent 的 session 借用攻击等。
Agent 如果有文件系统访问权, 恶意 skill/插件可以轻松获取这些Session信息,攻击者在其他设备直接还原登录态,由于并不是“新登录”,因此不触发 2FA/短信/邮箱验证。
2.2、针对性防护措施
最核心:隔离运行环境
绝不在主日常机器/用户下以高权限运行 Agent。
Windows:使用 Windows Sandbox(一次性)或 Hyper-V 专用 VM。不要共享主用户 AppData 文件夹。
macOS:使用 Docker/OrbStack/Colima,只挂载严格限定的 workspace 目录,明确排除 ~/Library/Application Support/Telegram Desktop、~/.config、~/Library/Cookies 等 session 存储路径。
OpenClaw 配置中启用 sandbox + workspace-scoped 访问,禁止工具访问全局文件系统。
应用层防护
Telegram:优先使用官方推荐的 Bot API(而非 MTProto userbot)。避免给 Agent 访问 tdata 的权限。若必须集成,定期手动清理 session 并监控“Active Sessions”。
X/Twitter 等:启用硬件密钥或 Passkey 2FA;定期在设置中检查并终止未知活跃 session;使用官方客户端,避免第三方 electron 包装。
浏览器:为 Agent 使用独立浏览器 profile(Chrome –user-data-dir);启用严格的 cookie 隔离;使用浏览器隔离工具或扩展监控 cookie 访问。
加密货币:绝不让 Agent 访问热钱包私钥/seed。优先硬件钱包(Ledger/Trezor)仅用于签名;热钱包仅存少量资金并监控交易。
主机监控与阻断
macOS:Objective-See 工具集(LuLu 控制出站、BlockBlock 监控持久化文件访问、KnockKnock 检查启动项)。用 fort 定期审计。
Windows:Sysmon 监控对 AppData、Cookies 等敏感路径的读写操作;Defender 实时保护。
通用:部署文件访问审计,一旦检测到 Agent 进程访问 session 存储目录立即告警/阻断。
通用最佳实践
所有 IM/社交/钱包账号启用 2FA(优先硬件/ Passkey,非仅短信)。
定期手动审查所有设备的活跃 session 并终止可疑项。
Agent 技能/插件安装前用 SlowMist 等工具扫描。
关键操作(如转账、发敏感消息)必须真人电话/视频二次确认,不要仅依赖聊天记录
3、供应链攻击风险防范
3.1、隔离构建环境
Windows:Hyper-V / Windows Sandbox + WDAC/AppLocker。
macOS:Docker 受限 volume + 专用低权限用户 + SIP/Gatekeeper 保持开启。
两者通用:OpenClaw sandbox 配置 + 人工审批高风险 action + kill switch。
3.2、主机加固
macOS:fort 一键审计 + Objective-See。
Windows:UAC + Defender + Sysmon。
3.3、良好的依赖包安装规范
锁定依赖:lockfile 进版本库;CI 里用 npm ci 而不是 npm install。
禁用安装脚本:npm config set ignore-scripts true,需要时对具体包显式放行。
版本冷却期:不做”发布即升级”的第一批受害者。蠕虫式投毒依赖受害者第一时间更新,等 48–72 小时再跟进新版本能挡掉大部分窗口期攻击。
最小化全局安装:全局工具是常驻攻击面。
技能/插件安装前审查源码:尤其是请求网络和文件访问权限的。关掉 Agent 的”自动安装技能”选项。
Checklist
- 在隔离 VM/容器中首次部署测试
- 配置 sandbox + 排除所有 session 存储目录
- 安装 LuLu/BlockBlock/Sysmon 等监控
- 启用 2FA + 定期审查活跃 session
- 关键操作真人确认机制
- 定期备份 + 快照 + 依赖扫描