咱们现在说个事,中国信息通信研究院和腾讯这俩巨头一块发了个叫“云上养虾安全七条”的东西,目的就是为了让像OpenClaw这样的AI智能体在云计算上安全落地。大家伙儿都知道,现在像OpenClaw这些AI智能体发展得特别猛,不管是搞个人开发的还是搞企业级应用的,“养虾”已经成了大家搞云上智能化转型的热门动作。不过呢,发展得这么快也带来了不少麻烦,开源的形态多、部署得快,这些都带来了前所未有的安全问题。为了让OpenClaw在安全的前提下能产业化落地,中国信息通信研究院就和腾讯云凑在一起,搞出了这么个“云上养虾安全七条”,算是给大伙儿定了一套安全的规矩。 说到“养虾”的风险,其实挺大的。今年2月,工业和信息化部那个网络安全威胁和漏洞信息共享平台NVDB,就专门给OpenClaw发了个预警,说它配置有问题、用得也不安全。现在大家最担心的问题主要集中在四个方面:提示词被人注入攻击、权限和隔离做得不够好、供应链那边有隐患、审计和追溯能力跟不上。 为了响应上面的要求,推动技术落地,信通院和腾讯云联手推出了这“七条”,把配置、运行、生态、应急这些环节全给覆盖了。咱们一条条看: 第一条是版本合规化。大家一定要从官方渠道下最新的版本别用第三方的,更不能用老版本。 第二条是网络收敛化。别把公网直接暴露出去,用内网隔离或者VPN/零信任通道访问,这样能防别人横向攻击。 第三条是权限最小化。用低权限的账户跑程序,放在沙箱或者虚拟机里运行。要是有特别危险的操作还得再确认一遍或者让人工审批。 第四条是数据隐私化。敏感数据得加密存着,定期备份还得严格管着谁能看。 第五条是技能规范化。尽量用官方认证过的或者安全过审的技能包。 第六条是接入防控化。部署点防护产品来防止提示词注入和恶意输入。 第七条是审计闭环化。日志得上传到云端统一管理查询,还得弄个异常处置流程。 这“七条”不光是技术规范,更是要给蓬勃发展的AI智能体生态一个能落地的安全指引。 说到怎么应对这些风险,腾讯之前出了个“龙虾安全工具箱”,专门针对云端部署、办公网环境还有个人电脑这三个场景搞了个全生命周期的防护。为了让“龙虾”自己能保护自己,腾讯还把一些核心能力打包成了AI Skills,用户只要跟它说句话就能启动自我防护。 对开发者和企业来说,腾讯云的Lighthouse、ClawPro、AI Agent安全中心和网关组成了一套整体防御方案。 对办公环境里的企业来说,腾讯iOA新方案打造了六大防线。 对个人用户来说,腾讯电脑管家18.0升级了AI安全沙箱功能。 EdgeOne ClawScan这东西一句话就能做个全身检查出报告;HaS Anonymizer能在本地跑着换敏感信息。 以后腾讯还会继续升级功能深化合作,共同推动这个生态繁荣起来。