问题——开源智能体快速进入多行业业务链,安全边界随之被重新定义。
NVDB研判指出,“龙虾”在典型应用中往往通过插件、工具调用与系统对接实现自动化处理,效率提升的同时也带来新的攻击入口:一是企业内部部署对接管理系统,可能因异常插件或“技能包”引入供应链攻击,并在内网横向扩散,触达已连接的系统平台、数据库等关键资产;二是开发运维场景中,智能体将自然语言转化为可执行指令,一旦被诱导或被未授权调用系统命令,可能导致设备被劫持、账号端口信息暴露、网络拓扑与接口密钥泄露;三是个人助手场景中,权限配置不当、明文存储密钥或遭受提示词注入,可能引发任意文件读写删除、敏感信息外泄甚至智能体被接管;四是在金融交易等高敏领域,记忆投毒、认证绕过或恶意插件可能诱发错误交易、交易凭证失窃,极端情况下还会出现缺乏熔断导致的失控下单风险。
原因——风险并非单点漏洞,而是“连接能力+自动执行+生态扩展”叠加后的系统性暴露。
业内人士分析,开源智能体普遍具备高度可扩展性,插件生态、脚本执行、接口调用、跨系统访问等能力,天然扩大了攻击面;同时,部分使用者将其直接置于生产环境或开放到互联网,叠加权限过高、密钥管理粗放、审计链条缺失等问题,使得“低门槛自动化”演变为“低成本入侵”。
此外,一些场景将智能体作为“运维代操作”或“交易代执行”,把高危操作从人工界面迁移到自动流程,若缺少审批与回滚机制,错误也会被放大并快速扩散。
影响——从数据与资产损失扩展到合规与业务连续性挑战。
NVDB提示,面向企业内网的渗透扩散可能造成核心数据泄露、关键系统不可用,影响生产经营连续性;开发运维被劫持将直接威胁基础设施安全,可能引发连锁停服与供应链层面的次生事件;个人场景则易导致隐私与数字资产被窃取;金融交易一旦发生错误指令或账户被接管,除经济损失外,还可能引发风控与合规风险,处置成本高、影响范围广。
对策——以“六要六不要”为牵引,突出版本可信、暴露面收敛、权限最小、执行可控、链路可追溯。
NVDB建议,使用“龙虾”等开源智能体应把安全治理前置到部署和运维全过程:其一,要从官方渠道获取最新稳定版本,保持补丁更新节奏,升级前做好数据备份与验证;不要使用来源不明的第三方镜像或长期不更新的旧版本。
其二,要严格控制互联网暴露面,定期自查端口与访问策略,确需远程访问的应通过加密通道并限制来源地址,采用强认证手段;不要将实例直接暴露在公网环境。
其三,要坚持最小权限原则,按任务授予必要权限,限制跨网段、跨设备、跨系统访问,对删除文件、外发数据、调用高敏接口等操作设置二次确认或人工审批;不要默认授予管理员权限或“一次授权永久有效”。
其四,要强化隔离与测试,企业场景宜独立网段部署并与关键生产环境隔离,开发运维优先采用虚拟机、容器或沙箱运行,部署前开展安全测试与基线核查;不要在未经评估的情况下直接进入生产环境“带病运行”。
其五,要把供应链审核作为重点,插件、组件和“技能包”实行白名单与审批制度,优先使用可信组件并定期排查修复漏洞;不要随意加载来源不明的扩展包与脚本。
其六,要完善审计与应急机制,保留完整运行与操作日志,建立高危命令黑名单与异常行为监测,金融交易等高风险领域需配置人工复核、熔断与应急处置流程;不要在缺乏追溯和兜底机制的情况下放任自动执行关键操作。
同时,密钥、配置文件和个人重要信息应采用加密存储与分级管控,避免明文落盘与随意共享。
前景——开源智能体安全治理将从“经验提示”走向“体系化建设”。
业内预计,随着智能体与业务系统深度耦合,安全要求将从传统网络边界防护延伸到插件供应链管理、指令执行控制、模型与记忆安全、数据分级与合规审计等更细颗粒度领域。
主管部门推动风险提示与实践指引,有助于形成“开发者自律、平台协同、企业落地”的防护合力。
下一步,企业需结合自身业务敏感度建立分级使用制度,对高风险场景实行“人机协同”的审慎策略;安全厂商与漏洞平台也应加强情报共享与验证复现,提高漏洞发现、修复与通报效率,推动形成可复制的安全基线与评估方法。
智能体技术正在重塑数字经济形态,但技术进步不能以牺牲安全为代价。
此次指引的发布,既是对当前风险的及时回应,更是对未来发展的前瞻布局。
只有在安全可控的前提下,智能体技术才能真正释放价值,为经济社会发展注入持久动力。
各方应以此为契机,共同构建智能体应用的安全生态,让技术创新行稳致远。