OpenClaw（又稱"龍蝦"）在技術(shù)社區(qū)快速走紅后，隨之而來的安全焦慮正在全面蔓延。作為一款開源AI智能體（AI Agent）框架，OpenClaw的核心目標(biāo)是讓用戶擁有一個(gè)可以執(zhí)行任務(wù)的私人AI助手——

它的圖標(biāo)是紅色龍蝦，但它的"鉗子"已經(jīng)伸向了系統(tǒng)級權(quán)限、企業(yè)數(shù)據(jù)和供應(yīng)鏈環(huán)節(jié)。

過去一年里，OpenClaw在技術(shù)社區(qū)快速走紅，成為最熱門的開源AI智能體框架之一。但安全討論的熱度幾乎同步攀升。

風(fēng)險(xiǎn)的根源在于，AI Agent不再是被動(dòng)回答問題的"聊天機(jī)器人"，而是能自主調(diào)用工具、訪問資源、執(zhí)行復(fù)雜任務(wù)的"數(shù)字員工"。

從事iOA產(chǎn)品運(yùn)營多年的行業(yè)專家劉登峰直言："本質(zhì)上，這樣的AI Agent是一個(gè)不會(huì)疲倦、會(huì)自動(dòng)化執(zhí)行的超級用戶，如果它在終端上安裝，被攻破了，就相當(dāng)于攻擊者完全獲得了這個(gè)終端的電腦權(quán)限，由此以來，就可以進(jìn)行下一步的橫向滲透，擴(kuò)散到企業(yè)的全部網(wǎng)絡(luò)終端或服務(wù)器，同時(shí)也具備非常高的數(shù)據(jù)外泄風(fēng)險(xiǎn)。"

AI Agent的出現(xiàn)，不僅帶來了新的攻擊面，更從根本上動(dòng)搖了傳統(tǒng)安全防護(hù)體系的底層邏輯。

說白了，"過去我們盯的是用戶是誰，現(xiàn)在我們可能還要盯AI Agent在替誰行動(dòng)，它具備什么樣的能力，它執(zhí)行的動(dòng)作有沒有偏離它的原始意圖。"劉登峰表示。

其次，安全建設(shè)的重心也發(fā)生了根本轉(zhuǎn)移：過去，安全的職責(zé)是防入侵，現(xiàn)在除了防入侵以外，還要防越權(quán)使用。因?yàn)樵贏gent時(shí)代，很多風(fēng)險(xiǎn)不再是過去所認(rèn)知的“黑進(jìn)來了”，它是屬于本來就允許它在內(nèi)網(wǎng)用這個(gè)Agent，本來就有授權(quán)，但是它授權(quán)過多，導(dǎo)致它的邊界不清楚或者失控。

防護(hù)對象從設(shè)備轉(zhuǎn)向了數(shù)據(jù)。過去是保設(shè)備，現(xiàn)在是重點(diǎn)保數(shù)據(jù)。即使一個(gè)設(shè)備本身沒有被攻擊者直接明顯的攻破，但是數(shù)據(jù)是有可能在正常的業(yè)務(wù)流程中被帶出去的。

這種轉(zhuǎn)變在個(gè)人端同樣顯著。PC端的權(quán)限天然比移動(dòng)端開放得多。Windows先天設(shè)計(jì)就會(huì)有一些機(jī)制允許通過底層上的技術(shù)，比如通過寫一段代碼就能夠調(diào)用系統(tǒng)上的某個(gè)文檔或者操作一些系統(tǒng)級的能力。

移動(dòng)端更偏向于輸入，在手機(jī)上遙控龍蝦在電腦上干活，在電腦上可能要操作文檔，訪問網(wǎng)絡(luò)和電腦上其他的內(nèi)容，所以有操作，這個(gè)風(fēng)險(xiǎn)會(huì)更大。

Skill供應(yīng)鏈：被忽視的新攻擊面

如果說權(quán)限失控是"明面上的風(fēng)險(xiǎn)"，那么Skill插件的供應(yīng)鏈投毒就是更隱蔽的"暗雷"。

OpenClaw的核心能力拓展依賴Skill插件：要處理PDF就裝PDF轉(zhuǎn)換插件，要查天氣就裝天氣查詢插件，要對接企業(yè)系統(tǒng)就裝對應(yīng)的業(yè)務(wù)插件。但這些插件大部分來自第三方開發(fā)者，安全審核機(jī)制尚不完善。

站在用戶角度，因?yàn)橄敫玫厥褂肙penClaw，需要完整、高效的工具說明，也就是Skill插件。在這個(gè)過程中，因?yàn)楸还粽叨⑸狭耍梢园岩粋€(gè)惡意文件偽裝正常Skill，比如PDF轉(zhuǎn)換、天氣查詢。對于普通用戶而言，甚至對于企業(yè)級員工而言，很難自行去辨別這里是否有問題。

更棘手的是，這類攻擊繞過了傳統(tǒng)的檢測手段。騰訊云安全副總經(jīng)理、AI Agent 安全中心負(fù)責(zé)人謝奕智也對筆者指出："Skills的安全性，因?yàn)樗锩嬗刑崾驹~、腳本，傳統(tǒng)的基于規(guī)則特征檢測的能力很難應(yīng)對。不過，目前，各家安全廠商針對Skill的安全檢測是在持續(xù)迭代的。”

面對AI Agent，企業(yè)的態(tài)度正在快速分化。

劉登峰透露，咨詢客戶覆蓋了金融、能源、運(yùn)營商、企業(yè)、零售等多個(gè)行業(yè)，但需求差異明顯："金融行業(yè)有明確訴求，就是要禁用的。偏互聯(lián)網(wǎng)的中型客戶，他們更想快速溝通企業(yè)級的安全沙箱方案。很多用戶一方面是在聊更精細(xì)化的場景怎么管，另外一方面就是聊能不能直接給他上沙箱，上了沙箱之后他可以根據(jù)沙箱跑一段時(shí)間、運(yùn)行一段時(shí)間，再判斷對于企業(yè)來說哪些場景是允許用的，哪些場景是不允許用的。"

值得注意的是，安全預(yù)算的來源也發(fā)生了結(jié)構(gòu)性變化："目前我們看到更多是業(yè)務(wù)部門，因?yàn)槭紫人菢I(yè)務(wù)發(fā)動(dòng)出來的需求。用戶對安全的認(rèn)知是比較成熟的，覺得OpenClaw這個(gè)東西天生就是有安全風(fēng)險(xiǎn)，所以我在購買一個(gè)企業(yè)版的OpenClaw的時(shí)候，我希望把安全也帶上，是基于這樣一個(gè)流程，和過去有點(diǎn)不同。"

安全的終局：不是對立，而是無感

很多人擔(dān)心，安全防護(hù)會(huì)犧牲AI Agent的使用體驗(yàn)。但這本質(zhì)上是一個(gè)偽命題：安全本身也可以是一種用戶體驗(yàn)。安全無處不在，但是你卻感受不到它的存在。在未來伴隨著OpenClaw的發(fā)展，大家應(yīng)該會(huì)慢慢習(xí)慣用它來解決這些問題，有些邊界會(huì)默認(rèn)被關(guān)閉。

而AI本身正在成為最好的安全工具。謝奕智透露，針對Skill安全中傳統(tǒng)規(guī)則檢測難以應(yīng)對的提示詞和腳本風(fēng)險(xiǎn)，"有專門的實(shí)驗(yàn)室同學(xué)在做研究，而且相關(guān)的能力已經(jīng)集成到我們的云端安全產(chǎn)品跟C端的安全產(chǎn)品"。"AI治理AI"正在從概念走向落地。

在大家關(guān)心的token消耗問題上，謝奕智的判斷是："token單價(jià)肯定是往下走的，因?yàn)樗磥砣绻蔀橄袼娨粯拥脑挘泻芎玫钠占埃幸欢ǖ囊?guī)模，價(jià)格一定是往下走的。"

這意味著AI Agent的使用成本將持續(xù)降低，普及速度會(huì)加快，安全防護(hù)的需求也會(huì)越來越迫切——一場圍繞AI Agent安全的長跑才剛剛開始。

實(shí)用建議：給"養(yǎng)蝦"人士的安全指南

針對企業(yè)業(yè)務(wù)使用者

權(quán)限最小化原則：給AI Agent分配權(quán)限時(shí)，只開放必要的系統(tǒng)訪問、數(shù)據(jù)讀取和操作權(quán)限。盡量不要涉及寫權(quán)限的工作，如果不需要，就給它只讀的密鑰權(quán)限。

做好網(wǎng)絡(luò)隔離：如果龍蝦有很固定的訪問目標(biāo)去完成它的工作，網(wǎng)絡(luò)做好隔離，不要讓它有權(quán)限去訪問一些不該訪問的內(nèi)網(wǎng)服務(wù)。

先測試再上線：新部署的Agent先在隔離測試環(huán)境運(yùn)行驗(yàn)證，確認(rèn)所有操作行為符合預(yù)期，再逐步接入生產(chǎn)環(huán)境。

建立全流程審計(jì)機(jī)制：對Agent的所有操作留痕，包括輸入的Prompt、調(diào)用的插件、執(zhí)行的動(dòng)作、訪問的數(shù)據(jù)，定期做安全審計(jì)，異常行為實(shí)時(shí)告警。

插件準(zhǔn)入審核：不要隨意使用第三方開源Skill插件，所有接入企業(yè)系統(tǒng)的插件必須經(jīng)過安全檢測，建議優(yōu)先使用官方提供或經(jīng)過安全廠商認(rèn)證的插件。

定期備份核心數(shù)據(jù)：預(yù)設(shè)Agent異常操作的攔截機(jī)制，一旦出現(xiàn)失控能快速止損，避免造成不可逆損失。

針對AI愛好者和個(gè)人用戶

不要開放不必要的權(quán)限：安裝OpenClaw時(shí)仔細(xì)審查權(quán)限申請，不要直接同意所有請求，尤其是文件讀寫、支付接口、攝像頭麥克風(fēng)等敏感權(quán)限。

優(yōu)先使用帶安全沙箱的方案：在本地部署時(shí)，優(yōu)先使用帶AI安全沙箱的防護(hù)工具，把Agent的運(yùn)行環(huán)境和真實(shí)系統(tǒng)隔離開。如果不熟悉OpenClaw的復(fù)雜安裝流程，可以考慮開箱即用的方案。

謹(jǐn)慎安裝第三方插件：不要下載不明來源的Skill插件，盡量從官方渠道獲取，安裝前做安全掃描檢測。

不要用Agent處理敏感信息：盡量避免用本地Agent處理身份證、銀行卡、工作機(jī)密等敏感信息，防止數(shù)據(jù)泄露。

做好數(shù)據(jù)備份：假設(shè)龍蝦很不靠譜，但是又很想用，怎么辦呢？可以買一臺PC，做好網(wǎng)絡(luò)隔離，做數(shù)據(jù)的定期備份，這樣就可以很靈活的去用龍蝦所有的能力。如果系統(tǒng)壞了，備份能力自動(dòng)加上，也不擔(dān)心數(shù)據(jù)問題。（本文首發(fā)鈦媒體APP，文 | DeepWrite秦報(bào)局，作者｜秦聰慧 ）