问题——自动化“代办”能力叠加漏洞,风险被放大;国家互联网应急中心通报中指出,OpenClaw在多场景调用系统与网络资源时暴露出明显薄弱环节:一是可能遭遇“指令劫持”,攻击者在网页内容或交互页面中植入隐藏指令,诱导智能体在用户不易察觉的情况下执行敏感操作;二是存在误操作风险,智能体对指令理解出现偏差时,可能触发批量删除、覆盖等不可逆动作;三是插件扩展链条可能被利用,一些以“增强能力”为名的扩展组件可能夹带窃取数据的恶意功能;四是在系统接口与组件层面发现多项高危漏洞,形成远程入侵入口。应急中心已据此开展处置,并提示各单位在部署使用前审慎评估有关风险。 原因——权限过宽、链路过长与生态不成熟相互叠加。多位网络安全从业者分析,智能体应用的核心特征是“代用户行动”:不仅读取信息,还能完成登录、检索、下载、上传、修改等连续操作。一旦权限授予过宽,或缺少细粒度的二次确认与操作审计,风险就可能从“信息泄露”升级为“资金与业务被操作”。同时,智能体往往依赖浏览器自动化、系统调用接口以及第三方插件生态,链路越长、组件越多,攻击面越大;再加上部分插件来源复杂、审核不足、更新机制不完善,给恶意代码潜入留下空间。对企业用户而言,若将智能体直接接入网盘、邮件、代码仓库、财务系统等核心资源,又缺少隔离环境与最小权限控制,一旦被利用,处置成本与损失都会显著上升。 影响——从个人隐私到关键行业,外溢效应不可低估。通报与案例显示,相关风险覆盖个人与机构两类场景:在个人端,账户凭据、支付信息、通讯录、照片以及家庭设备控制权限可能成为攻击目标;在机构端,合同文档、研发代码、客户数据、经营报表等敏感资产面临外传风险,甚至可能出现业务指令被篡改、自动化流程被劫持等情况。尤其在金融、能源等对连续性与准确性要求极高的行业,一旦智能体被诱导执行错误或恶意指令,数据合规风险与生产运行风险可能叠加放大。应急中心相关报告还提及,部分事件单次损失可达亿元级别,提示各方必须把“自动执行”带来的放大效应纳入安全评估。 对策——以最小权限为底线,建立“可控、可审、可退”的使用机制。业内建议从四个层面同步加强防护:一是权限管控,严格落实最小权限原则,将通讯录、相册、网盘、邮件、支付与系统管理等敏感权限默认关闭,确需使用时分级授权、分步确认;二是指令治理,对转账、删除、外发、批量下载等高风险操作设置强制二次确认与“白名单”流程,避免“一句话直达执行”,并保留可追溯日志;三是插件与供应链管理,建立插件准入、签名校验、版本回滚与安全审计机制,优先使用来源可追溯、更新可控的组件;四是隔离部署,对企业关键系统采取物理或网络隔离,将智能体运行环境与核心业务网段分离,配套数据脱敏、访问频控与异常行为检测,降低被入侵后的横向移动能力。 前景——智能体加速落地,安全治理需要同步前移。随着各类智能体进入办公协同、客服运营、研发测试与设备管理等环节,安全挑战将从“单点漏洞”转向“体系治理”。专家指出,下一阶段重点在三上:其一,推动形成面向智能体的安全基线与测评体系,明确权限边界、数据流向与责任划分;其二,强化企业内部安全运营能力,将智能体纳入资产管理、漏洞管理与应急演练;其三,完善插件生态与第三方服务的监管与自律,推动形成可验证、可审计、可追责的技术与管理闭环。只有把安全作为产品设计和部署的前置条件,才能在提升效率的同时守住数据与业务底线。
智能体带来的效率提升事实上,但当工具具备“代替人操作系统”的能力,安全边界就需要重新划定。把每一次授权当作一次风险评估,把每一项扩展能力当作一次供应链审查,把每一条指令当作一条可验证、可追溯的操作记录,才能让技术进步真正服务于安全与发展。在数据时代,便利与安全不是二选一,而是必须同时解好的治理题。