近期,开源智能体工具OpenClaw网络上热度攀升。该类工具通过整合通信软件与大模型能力,可在用户终端上自动完成文件整理、邮件处理、数据分析等操作——降低重复劳动成本——吸引企业团队与个人开发者尝试部署。一些网友将其称为“赛博龙虾”,折射出其“能干活、会自主行动”的特点。 问题在于,智能体的能力边界越接近“数字分身”,安全边界就越需要同步加固。工业和信息化部网络安全威胁和漏洞信息共享平台此前已发布涉及的安全预警。3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示指出,此类智能体运行往往需要较高系统权限,包括访问本地文件、读取环境变量、调用外部接口及安装扩展插件等。若默认配置缺乏必要限制,一旦漏洞被利用并突破防护,攻击者可能获得系统控制权,造成敏感数据泄露、业务中断甚至关键系统失控等后果。 从原因看,风险主要来自三上叠加:其一,自主决策与工具调用机制带来“可执行性”风险。智能体不仅能理解指令,还能调用Shell、脚本、网络接口等工具链,若权限过大或缺乏隔离,相当于终端中引入一套可自动执行的“高权限流程”。其二,交互链条更长,容易被诱导。业内人士提醒,即便升级到官方最新版本修复已知漏洞,也不意味着风险完全消除。提示词注入等新型攻击可能通过对话内容“绕过”预期规则,诱导智能体执行非预期操作,进而读取密码、密钥等敏感信息。其三,扩展能力依赖外部“技能包”等组件,来源复杂、审核不足时容易形成供应链隐患,恶意代码可能借助插件或更新渠道渗透,带来隐蔽性更强的长期风险。 影响上,风险外溢具有放大效应。对个人用户而言,常见问题集中在账号被盗、隐私泄露、终端被远程控制等;对企业特别是多智能体协同场景而言,智能体之间相互调用、共享上下文与工具权限,一旦缺少统一边界管控,攻击面会随规模扩张而扩大,造成横向移动、权限滥用和合规风险。全国政协委员、360集团创始人周鸿祎在接受媒体采访时也表示,智能体具有创新潜力,但仍处在发展初期,结果稳定性与底层安全机制有待完善;如果缺乏有效管控,让其随意与外部系统交互或在公开环境执行复杂任务,可能诱发敏感信息泄露。他将智能体比作刚入职的“实习生”,需要训练,更需要规则约束。 针对上述挑战,360集团发布《OpenClaw安全部署与实践指南》,提出“先可控、再提效”的思路,为不同规模用户给出可落地的安全路径。指南梳理了当前智能体部署常见风险点,包括公网管理接口暴露、身份凭证泄露、工具调用越权、提示词注入、记忆模块被投毒、第三方插件供应链风险以及多智能体协同失控等,并提示提示词注入与插件供应链攻击往往更易被忽视,但危害更大,应纳入常态化防护与审计范围。 在具体对策上,面向个人开发者和小型团队,指南建议避免在本机以高权限直接运行,优先通过容器化等方式构建隔离环境,配合最小权限策略,将文件、网络、系统命令等能力按需开放;对密钥等敏感信息采用加密注入与分级管理,减少明文暴露;对关键配置与插件来源进行校验与防篡改,降低被植入恶意代码的可能性。面向政企级多智能体协同应用,指南深入提出基于零信任理念的整体架构:在系统边界设置安全网关统一管控出入流量并开展数据防泄漏检测;在平台内部建立多租户与基于角色的细粒度权限体系,落实管理员、安全审计、工具开发、业务操作等职责分离;同时将关键操作日志接入安全运营平台,通过行为基线与异常检测实现实时预警与拦截。 从前景看,智能体应用有望在办公协同、客户服务、研发辅助、数据治理等领域拓展,但“自动化”越深入,“安全与治理”越需前置。业内人士认为,未来一段时期,智能体安全将从单点漏洞处置,转向覆盖权限、数据、模型交互、插件供应链与审计追溯的体系化建设;相关风险提示与标准规范也将更加密集,推动形成可验证、可追责、可持续的应用生态。
智能体技术的快速发展再次证明,技术创新必须与安全保障同步推进。只有建立完善防护体系,才能让新技术真正释放价值。这既是对企业技术能力的考验,更是数字化治理水平的重要体现。