近期,随着开源智能体办公协同、运维管理和自动化交易等领域加速落地,有关安全风险同步显现。工业和信息化部网络安全威胁和漏洞信息共享平台在组织智能体提供方、漏洞收集平台运营单位及网络安全企业研判基础上,围绕“龙虾”典型应用场景发布安全风险提示,并给出“六要六不要”建议,意在引导各类用户在提升效率的同时守住安全底线。 问题:多场景应用带来“高连接、高权限、高依赖”的复合风险。平台梳理指出,在智能办公场景,智能体往往需要对接企业管理系统、文档与知识库,风险集中在异常插件或“技能包”引发的供应链攻击,以及在内网环境中横向扩散导致业务系统、数据库等敏感信息泄露;在开发运维场景,自然语言指令可能被转化为可执行命令,若缺少权限约束与命令校验,存在非授权执行、高危操作被滥用、系统账号端口信息外泄乃至设备被劫持控制等隐患;在个人助手场景,若远程接入与本地文件权限设置不当,可能出现恶意读写删除文件、密钥明文存储被窃取、通过诱导式输入触发危险操作等问题;在金融交易场景,风险更具外溢性,除插件夹带恶意代码窃取交易凭证外,还可能因“记忆污染”等因素诱发错误决策,在缺少复核、熔断和应急处置机制时出现频繁下单、账户被接管等极端情况。 原因:风险成因主要来自三上叠加。一是组件生态复杂,插件、扩展与第三方镜像来源多元,审核不严易被“投毒”;二是部署方式趋于“快速上线”,部分用户将实例直接暴露在互联网,或在生产环境直接运行,扩大攻击面;三是权限与审计机制薄弱,智能体在跨系统调用、跨设备访问时若默认赋权过高,且缺少完整日志留存与追溯手段,一旦发生越权或误操作,难以及时定位与止损。 影响:上述风险一旦被利用,轻则造成数据泄露、文件损坏与业务中断,重则引发企业核心系统被渗透、重要资产被转移、交易合规风险上升,并可能通过供应链扩散影响更多单位,形成连锁安全事件。特别是在金融与运维等高敏场景,错误指令或被操控执行的后果往往具有瞬时性和不可逆性,处置窗口更短、损失放大更快。 对策:平台提出“六要六不要”,核心指向“可信来源、最小暴露、最小权限、可审计、可控可停、可隔离”。一要使用官方渠道的最新稳定版本,按规范升级并验证补丁效果;不要使用来历不明的第三方镜像或长期不更新的旧版本。二要严格控制互联网暴露面,定期排查端口与公网映射,确需远程访问时通过加密通道并限制来源地址、采用强认证;不要将实例直接暴露在公网环境。三要实施网络隔离与分区部署,办公类建议独立网段运行并与关键生产系统隔离;不要允许未经审批的终端和组件接入内网。四要坚持最小化授权,运维与交易等高风险场景禁止授予管理员级权限,限制跨网段、跨设备、跨系统的非必要访问;不要为追求便利“一键全开”权限。五要强化高危操作控制,建立命令黑名单与人工复核机制,关键步骤设置二次确认;不要让自动化链路在缺少校验的情况下直达核心资产。六要完善日志留存、审计追溯与监测告警,金融等场景同步建立熔断和应急处置预案;不要在缺乏审计记录与应急机制的状态下上线运行。 前景:业内人士认为,开源智能体的价值在于降低自动化门槛、提升组织效率,但其运行边界必须与安全治理同步“工程化”。下一步,随着应用从工具型走向业务中枢型,安全建设将更强调供应链管理、权限分级、运行隔离与全链路审计的标准化落地。对企业而言,应将智能体纳入既有信息安全与合规体系,做到上线前评估、运行中监测、故障时可控停机,推动新技术应用在可控轨道上释放红利。
在数字经济快速发展的背景下,智能技术安全治理已成为关键议题。此次防护指南既说明了监管的前瞻性,也为技术创新划定了安全边界。随着细则落地,我国有望在全球智能技术安全标准制定中发挥更大作用,为数字经济发展提供坚实保障。