(问题)随着开源智能体在政企与个人端加速落地,其带来的效率提升日益显著,但由插件扩展、自动执行指令和跨系统对接引发的安全问题也随之凸显。工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)近日组织智能体提供商、漏洞收集平台运营单位及网络安全企业等开展研究,面向“龙虾”典型应用形态提出“六要六不要”建议,旨在为使用单位与个人用户提供可操作的防护框架,遏制风险外溢。 (原因)业内人士指出,智能体类工具通常具有三类“天然高风险”特征:一是组件与插件生态丰富,供应链链条更长、可控性更弱,恶意插件、“技能包”夹带代码的风险上升;二是为实现“自然语言到指令执行”的自动化能力,往往需要调用系统权限、访问接口与数据源,一旦权限配置过宽或缺乏边界控制,攻击者更易借道渗透;三是部分部署存在“图省事”的倾向,将服务暴露在互联网或缺少日志审计与审批机制,导致攻击发现成本降低、追责取证难度增大。 (影响)NVDB梳理的风险在不同场景表现各有侧重。 在智能办公场景,智能体对接企业管理系统、数据库与知识库后,若引入异常插件,可能触发供应链攻击;一旦发生内网横向移动,敏感信息泄露或业务数据丢失的连锁后果更加突出。同时,缺乏完整审计与追溯机制,还可能引发合规风险与管理责任风险。 在开发运维场景,智能体被用于辅助写码、执行脚本、巡检与配置管理,若出现未授权命令执行,可能导致设备被劫持控制;系统账号、端口、网络拓扑、API接口等信息一旦外泄,外部攻击与口令爆破概率显著上升,带来生产系统稳定性和数据安全双重压力。 在个人助手场景,智能体常通过即时通讯等方式远程接入本地部署环境,若权限过高,存在恶意读写、删除文件的可能;在开放互联网访问条件下还易遭受入侵。尤其是提示词诱导等方式可能触发危险操作,明文存储密钥、配置文件则会放大个人隐私与数字资产被窃风险。 在金融交易场景,智能体接入交易接口后,风险被继续放大:一旦出现“记忆投毒”或身份认证绕过,可能引发错误交易甚至账户被接管;恶意插件可能窃取交易凭证;若缺少熔断与应急机制,极端情况下可能出现失控频繁下单等系统性风险。 (对策)针对上述问题,NVDB提出“六要六不要”框架,核心强调“来源可信、边界清晰、权限最小、过程可控、操作可审、风险可断”。 一是版本使用要“正源可控”。要从官方渠道获取最新稳定版本,启用更新提醒;升级前做好数据备份,升级后重启并验证补丁生效。不要使用来历不明的第三方镜像或长期不更新的旧版本,避免把已知漏洞带入生产环境。 二是网络暴露面要“能收尽收”。要定期自查实例是否暴露在互联网,一经发现立即下线整改。不要将智能体实例直接对公网开放;确需远程访问的,应通过加密通道接入并限制来源地址,降低被扫描、被撞库、被入侵的概率。 三是部署形态要“隔离分层”。在智能办公等场景中,应将智能体部署在独立网段,与关键生产环境隔离运行;禁止在内部网络使用未经审批的终端或组件,防止风险由点及面扩散。 四是授权策略要“最小必要”。部署前开展充分安全测试,部署时按任务授予最小化权限,严格限制跨网段、跨设备、跨系统访问;在开发运维场景中,优先在虚拟机或沙箱运行,不授予管理员权限,并建立高危命令黑名单,对关键操作引入人工审批。 五是数据与密钥要“加密保管”。个人与机构应避免明文存储API密钥、配置文件和重要信息,使用加密方式管理,配合目录访问控制,禁止访问敏感目录或不必要的数据源。 六是审计与应急要“闭环处置”。要留存完整操作日志与运行日志,满足审计要求;金融交易等高风险场景要建立人工复核、二次确认及熔断机制,强化供应链审核与漏洞修复,并开展全链路监测,确保发现异常后能快速止损。 (前景)业界普遍认为,开源智能体将持续向更广的行业场景渗透,带动办公协同、运维管理、投研交易等环节效率提升。此外,安全治理将从“事后补丁”转向“工程化内生安全”,包括默认最小权限、可验证的插件来源、可审计的指令链路、可回滚的版本管理以及可触发的风险熔断。随着安全规范、测评机制与供应链治理体系逐步完善,智能体应用有望在可控边界内释放更大生产力。
效率与安全需兼顾。NVDB的“六要六不要”建议强调通过制度、配置和流程明确边界与责任。只有夯实供应链、权限、隔离等基础工作,开源智能体才能更稳健地服务企业与公众。