OpenClaw的风，已经吹进了奶茶圈|openclaw|奶茶圈|安全漏洞

允中发自凹非寺
量子位 | 公众号 QbitAI

养龙虾（OpenClaw）的风，终于也是吹进了奶茶圈。

在新茶饮行业，高峰期的订单峰值监控、多区域门店的运营数据汇总、跨系统的业务异常排查，一直是茶饮品牌技术团队的日常高频工作。

而古茗在测试使用OpenClaw的过程中发现，技术团队只需要跟龙虾提问“当前的QPS是多少”、“订单状态是多少”等问题，它就能串联整个流程并输出结果，员工不再需要登录多个平台查看，显著提效。

不止是新茶饮赛道，这股Agent落地的浪潮，也已经渗透进了百货零售行业。

作为国内头部百货企业，银泰百货的日常运营痛点，是既需要面对线下数十家门店的销售数据复盘、营销活动效果分析，也需要保障全国门店信息系统的安全稳定运行。

而OpenClaw的到来，对于银泰百货来说，相当于在其原有“银泰精灵”的基础上新增了载体，让员工使用起来更便捷、触达效率更高。比如对接内部自研的应用监控系统，以往监控粒度较细，现在它可以自动汇总当天高频问题并主动告知；从业务层面，员工想查看当天整体销售情况，它也能基于业务数据，自动整理并呈现出员工需要关注的核心指标。

但在Agent技术为实体企业带来效率革命的同时，率先尝鲜的两家企业，也都真实遭遇了落地过程中的安全与风险挑战。

古茗在测试使用中发现，OpenClaw在执行特定搜索任务时，曾引发API Token持续滚动调用、无法自动终止，造成成本浪费；同时，安装运行时会向用户申请麦克风等与业务无关的系统权限。

银泰百货则遭遇了更为直接的业务干扰，Agent在执行安全漏洞扫描任务时，将堡垒机的正常端口自行判断为漏洞并予以关闭，导致全司运维人员无法登录系统。

这些一线踩坑的真实案例，也揭开了Agent规模化落地背后，全行业都必须直面的核心命题：当Agent从提效工具变成能直接操作企业核心系统的数字员工，企业该如何识别并化解全维度的安全风险，实现安全可控的规模化落地？

围绕这一关乎Agent行业未来的核心问题，在一场名为“有模有样——AI场景实践者说”安全专场直播中，五位来自产业一线与技术平台的核心实践者，从真实落地案例出发，全面拆解Agent时代的新型安全风险，并给出了覆盖全行业、全规模企业的安全落地方案。

他们分别是：

古茗科技集团网络安全总监刘星光
银泰商业集团安全负责人李亚博
阿里云智能集团安全产品线产品总监祝建跃
阿里云智能集团业务安全负责人郑雅敏
阿里云智能集团开放平台负责人何登成

企业为什么急着给Agent“递枪”？

在拆解安全风险之前，我们首先要厘清一个核心问题：像古茗、银泰百货这样看似与前沿AI技术距离较远的实体服务行业，为什么纷纷开始养龙虾？

答案藏在Agent技术带来的本质性变革里。

区别于传统生成式AI仅停留在对话交互与内容产出的层面，以OpenClaw为代表的Agent，实现了从对话交互到自主执行的核心跨越，这也是它能快速破圈的根本原因。

就像刘星光在直播里说的：

我觉得OpenClaw最吸引人的地方，是它是一个自动化的程序。像以前的传统AI，它可能更多的是生成内容、生成图片，它不可能去帮你执行相关任务。但OpenClaw完全不同，它只需要你定一个目标，它就可以真正帮你把东西执行下去。当一次执行不了，它还会尝试第二次，并把问题节点反馈给你。

这就是最核心的区别。之前的生成式AI，说到底还是个辅助工具，你得一步步引导它，它给你的最终只是内容和建议，落地执行还是要靠人；但Agent是个真能干活的执行者，你只要告诉它最终要达成的结果，它会自己拆解任务、调用工具、串联流程、完成执行，甚至能自主解决过程中遇到的问题。

这种变化，带来的是真正的技术平权。不用你懂代码，不用懂复杂的系统操作，只要会用自然语言清晰表达需求，就能让AI帮你完成跨系统、多步骤的复杂工作。

正如郑雅敏所洞察的那样：

以往人机交互的范式是通过界面或窗口，流程是靠人去串联的。而有了OpenClaw之后，人只需下达一句话，它就能自动拆解任务、智能执行并完成结果。Agent成为了人与数字世界的连接器，让人从繁琐的执行中解脱出来，更关注于高级的思考。

这种核心能力的变革，也让Agent技术的全行业渗透成为必然趋势。

从微观的企业组织层面来看，Agent正从单纯的提效工具加速蜕变为企业的数字员工，并深刻重构企业的组织与工作模式。李亚博引用了马斯克的一句话来形容当下的状态：

现在的Agent就像给猴子递枪，我们还在摸索。但在未来，Agent可能会变成我们的数字同事。我一个人可能带领着十个数字同事一起干活。

这就意味着，在未来，一个人可通过多Agent协同完成复杂的业务闭环，甚至催生出估值很高的“一人公司”模式。企业所管理的资产，将不再仅仅是物理资产和人类员工，更包含这一群庞大且高效的Agent资产。

从宏观的时代演进层面来看，Agent技术的普及，如同智能手机当年对功能机的降维打击。它将成为数字时代企业和个人的基础能力。刘星光做了一个较为贴切的类比：

十几二十年前手机只是用来拨号的，而现在全是智能手机。如果你现在说不会用智能手机、不会用上面的APP，必然会被时代淘汰。未来也是如此，如果企业不会用Agent，不会跟AI对话，那可能就会面临被时代抛弃的风险。

OpenClaw之于当下，如同移动互联网早期的iOS与安卓。当技术红利的风口全面敞开，任何企业都无法拒绝这种指数级的效率飞跃。

一线踩坑实录：Agent落地的5个致命暗坑

效率的另一面，是全新的风险。

当Agent从技术概念走进实体企业的真实业务场景，它的自主执行的核心特性，也带来了传统AI时代从未出现过的全维度安全风险。古茗与银泰百货的一线实践，完整呈现了企业落地Agent过程中需要直面的五大核心隐患。

端口暴露：一个默认配置，就能让内网全线失守

传统企业办公网有着严格的网络边界管控，但Agent的本地化部署，往往会在不知不觉中打破这一平衡。

古茗在部署过程中发现，OpenClaw运行服务时需要开启Gateway网关，默认端口为18789。安装时选择快速配置而非进阶配置，会直接开启该端口，且访问Token会明码显示在屏幕上，泄露风险极高。

刘星光在直播中还原了攻击者的视角：

假设站在红方的角度，我只需要在企业内网执行一条Nmap扫描插件的命令，扫描当前子网内有多少台机器开放了18789端口，就能迅速列出目标。随后通过漏洞定向打击，这台机器就会沦陷。更可怕的是，办公网通常是一个大的广播域，一旦单台终端中招，横向渗透的风险就会迅速扩散到整个网段。

更棘手的是，这种风险很容易引发内网的全面沦陷。企业办公网通常是一个大的广播域，最多只会把无线和有线网络分开，很少有公司会给每个团队划分单独的VLAN，管理成本太高。一旦单台终端中招，横向渗透的风险就会迅速扩散到整个网段，这也是企业网络安全中最难解决的问题。

Skills陷阱：8%的插件带恶意

Agent之所以强大，很大程度上依赖于其丰富的Skills生态。无论是连接数据库、调用搜索引擎还是执行特定脚本，都需要依赖第三方Skills。但这正是最大的隐患所在。

李亚博在调研中发现了一个的数据：

现在行业生态里有几万个 Skills，基础调查显示至少8% 的Skills存在主观恶意。

但现实情况是，绝大多数普通员工根本没有能力识别这些风险。安装时看到推荐插件，为了图省事直接全量勾选，觉得装得越多功能越强，却不知道这种行为，等同于直接为未知来源的第三方代码敞开了系统的最高权限大门。

这些Markdown文件里隐藏的恶意URL、恶意执行逻辑、Prompt注入后门，普通非技术员工根本无法识别，堪称“一键安装，即刻中招”。

这被阿里云安全团队定义为Agent时代的新型软件供应链攻击。

最棘手的地方在于，这些恶意代码是员工主动“请”进内网的，传统的边界防护体系对此几乎束手无策，成为了企业安全防护中极其致命的盲区。

权限失控：给AI一把钥匙，等于埋下定时炸弹

除了端口和Skills的隐患之外，权限，也是安全风险的一大隐患。

为了让Agent能做更多的活儿，使用者往往会赋予它很高的系统权限。但这种缺乏最小权限原则约束的做法，也很容易引发业务事故与隐私泄露。

银泰百货遭遇的堡垒机端口被关事故，就是非常典型的权限失控案例。

为了让Agent完成全系统的安全漏洞扫描，企业给它开放了端口管理的高级权限，最终却导致它仅凭技术判断，就关闭了堡垒机的核心端口，造成全司运维人员无法登录系统的严重事故。

古茗在实践中也发现了同样的问题，刘星光提到，OpenClaw甚至会申请麦克风等与业务完全无关的系统权限，程序在后台到底用这些权限做了什么、执行了哪些操作，用户完全不可视、不可控。更深层的隐患在于，部分员工为了简化操作，可能会赋予OpenClaw过高的系统权限，甚至把各类凭证、API密钥交由Agent管理，一旦权限失控，企业核心资产将面临风险。

祝建跃对此点出了问题的核心，他认为，Agent的自主推理与执行特性，决定了其下一步操作充满了不确定性。将系统核心凭证、API密钥等超级权限毫无保留地交由一个存在幻觉可能性的AI去管理，是企业Agent落地中最普遍的高危风险点。

成本与数据双失控：看不见的消耗，守不住的核心资产

成本与数据，同样也是Agent真正接入业务时的安全隐患。

古茗遭遇了真实的成本失控案例。刘星光在直播中分享，让 OpenClaw 执行互联网内容搜索任务时，Agent 持续调用 API Token，耗时二十多分钟仍未自动终止，只能手动停止任务：

它不可控的点在于，你不知道它要搜多少次，它可能搜1万次都说不准。不仅任务周期远超预期，还造成了严重的成本浪费，就算中途停止，之前消耗的Token也已经浪费了。

数据安全方面亦是如此。

企业为了让Agent完成业务任务，往往需要向其开放核心经营数据、订单数据、机密文件等敏感信息，却无法管控这些数据是否会被传输至大模型、通过插件泄露至公网，数据安全完全处于不可控状态。

体系性风险：传统安全防护体系不好用了

上述四大风险，最终指向了一个最核心的行业困境：面对Agent时代，企业沿用了十几年的传统安全防护体系，正面临严峻挑战，难以有效应对Agent时代的新型攻击模式。

祝建跃指出，企业传统的边界防护等安全体系，无法应对Prompt注入、AI供应链攻击、Agent自主高危操作等新型攻击模式。

郑雅敏补充道，Agent的出现扩大了企业网络攻击面，对传统边界防护体系带来颠覆性挑战，企业面临体系性防护失效风险。

从底层原则到全场景落地的安全养虾指南

一边是不可逆转的行业趋势，一边是步步惊心的安全风险，那么企业到底该如何安全养虾？

基于古茗、银泰百货等企业的一线落地实践，阿里云已经有了一套覆盖全场景、全规模企业的Agent安全落地方案，核心逻辑只有一个：先扎紧安全的笼子，再放开效率的手脚。

第一原则：最小权限+环境隔离

阿里云给出的Agent落地首要防护原则，是最小权限原则搭配独立环境隔离。它是所有安全防护的基础，也是经过一线实践验证的、有效且简便的风险防控方案。

这个原则拆解开来其实很简单：

权限层面，仅为Agent开放完成核心任务的必要权限，仅安装业务必需的Skills插件，多余的权限一律关闭，没用的插件一律不装；
环境层面，为Agent部署独立的沙箱运行环境，即便单节点被入侵，也只能在沙箱内运行，无法实现风险扩散，更影响不到企业的核心业务系统。

目前古茗计划采用阿里云Landing Zone解决方案，为 OpenClaw 部署独立隔离的运行环境，该方案可实现环境隔离与权限精细化管控。

阿里云开放平台负责人何登成介绍，AI场景适配后的Landing Zone方案，不仅实现业务与创新环境的安全隔离，还能实现创新业务成本独立核算，兼顾安全、效率与成本管控。

刘星光也直言，独立隔离的运行环境，是企业安全落地Agent的核心基础，即便单只龙虾出现安全风险，也能将影响控制在沙箱之内。

企业级的解法：以Agent为中心体系化解决方案

有了安全防护的基础，针对企业规模化部署Agent后的管理与防护痛点，阿里云还推出了企业级Agent安全中心，构建了事前、事中、事后的全闭环防护体系。

祝建跃详细介绍了该产品的四大核心能力：

其一，针对企业“不知道风险在哪”的核心痛点，提供风险大盘可视化能力，可自动盘点企业全量Agent节点，将全公司Agent资产、风险状态统一呈现、批量巡检，解决企业“不知道自己养了多少只龙虾”的管理盲区；
其二，针对Skills供应链风险，提供 Skills 前置拦截与扫描能力，为恶意插件增设防火墙，在安装前完成静态与动态双重风险检测，从源头堵上供应链漏洞；
其三，针对权限失控与操作不可视问题，提供全链路行为审计能力，完整记录Agent的全量操作、工具调用、地址访问行为，实现风险实时告警、事故可追溯、可定责；
其四，配套AI安全护栏、Agent ID Guard身份管控与RAM身份体系，实现模型输入输出的风险拦截、企业员工与Agent权限的统一精细化管控，形成全流程防护闭环。

李亚博对这套体系给出了比较务实的评价：

Agent安全中心从三个维度解决了企业的核心困扰。一是通过风险大盘让企业清晰掌握风险全貌，解决了“知道有风险、却不知道风险在哪”的核心痛点；二是为恶意Skills提供了前置拦截能力，筑牢了供应链安全防线；三是全链路审计能力让安全事故可追溯、可定责，完善了事后处置体系。

中小企业低成本解法：用云原生的默认安全

除了规模化部署之外，对于中小企业与个人用户的轻量化部署需求，阿里云基于云原生能力提供了低门槛、低成本的默认安全方案。

郑雅敏介绍，阿里云无影、轻量服务器都提供了OpenClaw一键部署镜像，默认关闭公网端口暴露，公网映射采用随机端口，规避了默认端口被黑产扫描攻击的风险；同时系统会自动开展公网暴露端口巡检，一旦发现用户将18789等高危端口开放至公网，会第一时间提醒用户整改。

这套安全方案的优势在于，底层基础设施安全已经由阿里云全面兜底，所以用户就不需要再操心服务器、网络层面的基础安全问题，只需要聚焦Agent的使用行为与权限管控即可。

由此，大幅降低了Agent安全部署的技术门槛与成本投入。

本次专场嘉宾形成了统一共识：

未来Agent将成为企业操作云资源的核心主体，阿里云的核心目标，是让OpenClaw、各类Skills与全品类Agent，在阿里云上既能实现全业务流程的高效跑通，又能从底层杜绝安全、成本、稳定性的全维度风险，让全行业都能放心落地Agent技术。

何登成表示，阿里云的核心方向，是打造一朵“Agent 友好”的云，让Agent在操作阿里云资源时，能够从底层保障安全性，解决了企业落地过程中的成本、稳定性与安全风险顾虑。

Agent 时代，安全不只是加分项，而是入场券

回顾科技演进的脉络，每一次生产力工具的跃升，都会不可避免地带来旧有安全边界的重构。

古茗、银泰百货等实体企业的OpenClaw落地实践，标志着Agent平民化时代的全面到来。Agent 技术已经从程序员圈层的技术尝鲜，渗透到了零售、餐饮、百货等多个实体行业，从技术团队的专用工具，变成了普通员工都能上手的提效利器，正在成为未来企业数字化的基础配置。

在这样的行业趋势下，Agent时代的安全，已不再是企业数字化的加分项，而是企业拥抱技术创新、实现规模化落地的必备入场券。企业对Agent技术的应用，不能陷入“重效率、轻安全”的误区，一线实践中的诸多案例已经证明，脱离安全管控的 Agent 应用，不仅无法实现持续效率提升，还可能给企业带来业务中断、数据泄露、成本失控等风险。

Agent技术的浪潮势不可挡，其对企业生产经营模式、组织架构的重构，将成为数字时代最核心的变革之一。而 Agent时代的红利，永远属于那些既能拥抱创新，又能守住安全底线的企业。只有构建起全维度、全闭环的Agent安全防护体系，企业才能真正驾驭Agent技术的能力，在效率革命中实现安全、稳定、可持续的增长。