OpenClaw(又称"龙虾")在技术社区快速走红后,随之而来的安全焦虑正在全面蔓延。作为一款开源AI智能体(AI Agent)框架,OpenClaw的核心目标是让用户拥有一个可以执行任务的私人AI助手——
它的图标是红色龙虾,但它的"钳子"已经伸向了系统级权限、企业数据和供应链环节。"龙虾"为什么让人又爱又怕
过去一年里,OpenClaw在技术社区快速走红,成为最热门的开源AI智能体框架之一。但安全讨论的热度几乎同步攀升。
风险的根源在于,AI Agent不再是被动回答问题的"聊天机器人",而是能自主调用工具、访问资源、执行复杂任务的"数字员工"。
从事iOA产品运营多年的行业专家刘登峰直言:"本质上,这样的AI Agent是一个不会疲倦、会自动化执行的超级用户,如果它在终端上安装,被攻破了,就相当于攻击者完全获得了这个终端的电脑权限,由此以来,就可以进行下一步的横向渗透,扩散到企业的全部网络终端或服务器,同时也具备非常高的数据外泄风险。"
AI Agent的出现,不仅带来了新的攻击面,更从根本上动摇了传统安全防护体系的底层逻辑。
说白了,"过去我们盯的是用户是谁,现在我们可能还要盯AI Agent在替谁行动,它具备什么样的能力,它执行的动作有没有偏离它的原始意图。"刘登峰表示。
其次,安全建设的重心也发生了根本转移:过去,安全的职责是防入侵,现在除了防入侵以外,还要防越权使用。因为在Agent时代,很多风险不再是过去所认知的“黑进来了”,它是属于本来就允许它在内网用这个Agent,本来就有授权,但是它授权过多,导致它的边界不清楚或者失控。
防护对象从设备转向了数据。过去是保设备,现在是重点保数据。即使一个设备本身没有被攻击者直接明显的攻破,但是数据是有可能在正常的业务流程中被带出去的。
这种转变在个人端同样显著。PC端的权限天然比移动端开放得多。Windows先天设计就会有一些机制允许通过底层上的技术,比如通过写一段代码就能够调用系统上的某个文档或者操作一些系统级的能力。
移动端更偏向于输入,在手机上遥控龙虾在电脑上干活,在电脑上可能要操作文档,访问网络和电脑上其他的内容,所以有操作,这个风险会更大。
Skill供应链:被忽视的新攻击面
如果说权限失控是"明面上的风险",那么Skill插件的供应链投毒就是更隐蔽的"暗雷"。
OpenClaw的核心能力拓展依赖Skill插件:要处理PDF就装PDF转换插件,要查天气就装天气查询插件,要对接企业系统就装对应的业务插件。但这些插件大部分来自第三方开发者,安全审核机制尚不完善。
站在用户角度,因为想更好地使用OpenClaw,需要完整、高效的工具说明,也就是Skill插件。在这个过程中,因为被攻击者盯上了,它可以把一个恶意文件伪装正常Skill,比如PDF转换、天气查询。对于普通用户而言,甚至对于企业级员工而言,很难自行去辨别这里是否有问题。
更棘手的是,这类攻击绕过了传统的检测手段。腾讯云安全副总经理、AI Agent 安全中心负责人谢奕智也对笔者指出:"Skills的安全性,因为它里面有提示词、脚本,传统的基于规则特征检测的能力很难应对。不过,目前,各家安全厂商针对Skill的安全检测是在持续迭代的。”
面对AI Agent,企业的态度正在快速分化。
刘登峰透露,咨询客户覆盖了金融、能源、运营商、企业、零售等多个行业,但需求差异明显:"金融行业有明确诉求,就是要禁用的。偏互联网的中型客户,他们更想快速沟通企业级的安全沙箱方案。很多用户一方面是在聊更精细化的场景怎么管,另外一方面就是聊能不能直接给他上沙箱,上了沙箱之后他可以根据沙箱跑一段时间、运行一段时间,再判断对于企业来说哪些场景是允许用的,哪些场景是不允许用的。"
值得注意的是,安全预算的来源也发生了结构性变化:"目前我们看到更多是业务部门,因为首先它是业务发动出来的需求。用户对安全的认知是比较成熟的,觉得OpenClaw这个东西天生就是有安全风险,所以我在购买一个企业版的OpenClaw的时候,我希望把安全也带上,是基于这样一个流程,和过去有点不同。"
安全的终局:不是对立,而是无感
很多人担心,安全防护会牺牲AI Agent的使用体验。但这本质上是一个伪命题:安全本身也可以是一种用户体验。安全无处不在,但是你却感受不到它的存在。在未来伴随着OpenClaw的发展,大家应该会慢慢习惯用它来解决这些问题,有些边界会默认被关闭。
而AI本身正在成为最好的安全工具。谢奕智透露,针对Skill安全中传统规则检测难以应对的提示词和脚本风险,"有专门的实验室同学在做研究,而且相关的能力已经集成到我们的云端安全产品跟C端的安全产品"。"AI治理AI"正在从概念走向落地。
在大家关心的token消耗问题上,谢奕智的判断是:"token单价肯定是往下走的,因为它未来如果成为像水电一样的话,有很好的普及,有一定的规模,价格一定是往下走的。"
这意味着AI Agent的使用成本将持续降低,普及速度会加快,安全防护的需求也会越来越迫切——一场围绕AI Agent安全的长跑才刚刚开始。
实用建议:给"养虾"人士的安全指南
针对企业业务使用者
权限最小化原则:给AI Agent分配权限时,只开放必要的系统访问、数据读取和操作权限。尽量不要涉及写权限的工作,如果不需要,就给它只读的密钥权限。
做好网络隔离:如果龙虾有很固定的访问目标去完成它的工作,网络做好隔离,不要让它有权限去访问一些不该访问的内网服务。
先测试再上线:新部署的Agent先在隔离测试环境运行验证,确认所有操作行为符合预期,再逐步接入生产环境。
建立全流程审计机制:对Agent的所有操作留痕,包括输入的Prompt、调用的插件、执行的动作、访问的数据,定期做安全审计,异常行为实时告警。
插件准入审核:不要随意使用第三方开源Skill插件,所有接入企业系统的插件必须经过安全检测,建议优先使用官方提供或经过安全厂商认证的插件。
定期备份核心数据:预设Agent异常操作的拦截机制,一旦出现失控能快速止损,避免造成不可逆损失。
针对AI爱好者和个人用户
不要开放不必要的权限:安装OpenClaw时仔细审查权限申请,不要直接同意所有请求,尤其是文件读写、支付接口、摄像头麦克风等敏感权限。
优先使用带安全沙箱的方案:在本地部署时,优先使用带AI安全沙箱的防护工具,把Agent的运行环境和真实系统隔离开。如果不熟悉OpenClaw的复杂安装流程,可以考虑开箱即用的方案。
谨慎安装第三方插件:不要下载不明来源的Skill插件,尽量从官方渠道获取,安装前做安全扫描检测。
不要用Agent处理敏感信息:尽量避免用本地Agent处理身份证、银行卡、工作机密等敏感信息,防止数据泄露。
做好数据备份:假设龙虾很不靠谱,但是又很想用,怎么办呢?可以买一台PC,做好网络隔离,做数据的定期备份,这样就可以很灵活的去用龙虾所有的能力。如果系统坏了,备份能力自动加上,也不担心数据问题。(本文首发钛媒体APP,文 | DeepWrite秦报局,作者|秦聪慧 )
热门跟贴