夜雨聆风近期,OpenClaw这一原本主要限于人工智能开发者社区讨论的术语,在医疗信息化领域引起广泛关注与讨论。长期以来,中国医疗信息化行业在面对境外技术风险时,已形成一套近乎自动化的标准应对流程:识别问题、确认来源、寻求国产替代方案、完成合规程序、并最终关闭相关议题。
然而,该流程建立在一个默认前提之上——即技术风险主要源于工具的地理来源,因此替换来源便可消除风险。
在AI Agent层面,这一前提难以成立。软件系统的安全性并不因开发企业的注册地变更而自动提升。即便产品代码仓库的名称从英文改为中文,其系统权限模型的核心架构亦不会发生根本性改变。
一、信息科的实际关切并非在于是否国产
OpenClaw所暴露的核心问题,并非其来源,而是其本质:一个被授予高系统权限、可自主规划并执行任务的程序。此类风险根植于其架构逻辑,而非产地。国产化替代虽有助于解决数据主权与供应链可控性问题,却无法消解一个高权限自主执行体在当前医院内网结构中所带来的不确定性。
将上述两类性质不同的问题相混淆,是当前围绕OpenClaw讨论中最常见的认知偏差。
类似OpenClaw的Agent工具多数源自开源社区,然而一旦被医疗信息化行业采纳,便迅速被封装为各类商业化产品。在推广与销售过程中,其论证逻辑常被简化为一句直白的承诺:“国产化即代表更安全”。至于其最初的开源项目背景,往往仅在技术交流时被简要提及。
在许多医院中,管理层未必深入理解OpenClaw的技术实质,但对其名称有所耳闻。一旦问题上升到管理决策层面,便极易被简化为一种惯性的应对策略:若某工具存在安全风险,则替换为国产版本,视之为解决之道。
然而,真正负责系统日常运维的技术人员所关注的,却是另一组更为具体的安全问题:
*该类Agent默认被授予哪些系统权限?
*其插件市场是否具备安全审核机制?
*一旦接入内网,其横向移动的边界何在?
*若发生误操作修改业务数据,日志能否完整追溯操作链路?
*出现安全事件时,厂商的应急响应能力又如何?
更现实的挑战在于,目前医疗行业尚未建立AI Agent应用于临床环境的安全基线。信息科通过国产替代在合规层面履行了责任,然而上述技术安全问题仍未得到实质性回应。
二、Agent类工具的风险本质
从系统安全的视角来看,传统软件更近似于沿固定轨道运行的机械装置,而Agent则更接近于具备自主决策能力的操作员。当该“操作员”被赋予系统管理员权限时,其带来的风险性质将发生根本变化。
官方风险提示中所涉及的几类问题,主要包括:提示词注入、误操作、插件生态风险及潜在系统漏洞。这些风险共同指向同一架构特征:Agent须具备较高系统权限方可实现自主执行,而高权限在防护薄弱的环境中则意味着更大的攻击面。
*提示词注入:属于大语言模型处理自然语言指令时的固有缺陷。攻击者可通过在网页或文档中嵌入隐藏指令,诱导Agent将其作为合法任务执行。这并非OpenClaw所独有,而是现阶段所有基于大语言模型的Agent系统所面临的共同技术挑战。
*插件生态风险:Agent的核心价值部分依赖于其可扩展的插件能力,然而插件市场的开放程度越高,恶意代码嵌入的可能性也就越大。即便某一国产Agent平台建立类似的开放生态,若缺乏严格审核机制,其面临的仍是同质风险。
*误操作风险:本质上源于AI推理精度问题。Agent错误理解用户意图,并以高权限执行错误操作。该风险的实际危害取决于操作的可逆性,与工具国籍无关。尤其在医院业务系统中,部分数据操作一旦执行便难以回滚。
若替换为一款国产Agent,但其权限模型未变、插件审查机制未变、内网防护能力未变,那么同类漏洞仍将存在,仅以不同名称再次出现。某些情况下,甚至连漏洞编号都无需更改,因其底层代码可能仍源于同一开源仓库。
三、内网环境是风险的真正放大器
在当前医疗信息化的讨论中,一个常被回避的现实是:高权限Agent的风险之所以被放大,很大程度上源于医院内网安全建设的历史欠账,而并非仅归因于Agent本身的风险特性。
医院内网通常以业务连续性为核心建设目标。众多系统已持续运行超过十年,其稳定性被视为成功的标志,而安全架构是否适应当前的技术环境,则往往缺乏系统性的重新评估。
为保障老旧业务系统的正常运行,网络普遍呈扁平化结构,内部横向隔离措施普遍不足;为便于运维,账号权限管理往往粒度粗糙;为规避补丁可能引发的兼容性问题,服务器安全更新在许多情况下严重滞后。
Agent的出现打破了原有假设。其作为具有不确定性的执行体,下一步行为取决于任务目标与实时推理结果。在一个缺乏精细横向隔离的内网中,一个具备高系统权限的Agent,其横向移动与扩大操作范围的能力,远超过任何功能确定的传统软件。
在引入任何高权限自主执行体之前,医院首先应评估现有内网环境是否具备承载此类风险的能力,而非仅聚焦于工具产地。然而在多数实践中,这一逻辑顺序却被颠倒。
四、国产替代实际解决哪些问题
那么,国产化方向是否具备实际意义?答案是肯定的,但其价值主要体现在以下三方面:
1. 供应链可控性
在极端情境下,境外工具可能存在断供或政策限制风险。医疗关键基础设施需将此类风险纳入评估体系,国产化在此维度具有合理性。
2. 监管响应机制
使用国产工具意味着监管部门能够更直接地对厂商实施约束,问题发生时的责任追溯路径更为清晰。这属于治理安全的范畴,而非纯粹的技术安全,但在实际管理中,治理安全同样是安全体系的重要组成部分。
3. 院外模型调用风险
当Agent调用大语言模型服务时,若模型运行于院外基础设施(无论是境外API、国内公有云模型服务还是第三方推理平台),请求数据均需跨越医院信息系统边界。对于涉及病历、医嘱与检查结果等敏感数据的业务场景,该调用路径本身就是需重点审视的风险点。国产化私有部署可在一定程度上减少此类跨系统、跨机构的数据流动,因而更易通过合规审查。
以上三点均具实际价值,也构成多数国产化项目的主要论证依据。然而,它们主要回应的是数据主权与供应链管控问题,并未解决Agent在脆弱内网环境中的架构安全挑战。国产替代回答的是“谁开发这一工具”,而Agent安全真正需要回答的是“该工具具备何种能力、其边界如何设定,以及由谁界定上述边界”。
若以回答前一问题的方式处理后一问题,医院信息科将发现,尽管已完成所有合规动作,但其实际面对的风险结构并未发生实质性变化。
五、当前讨论中所忽略的核心问题
OpenClaw所引发的本轮讨论,很可能再次以推动国产替代作为收尾。待到下一时间节点,另一款Agent工具可能因其它漏洞触发类似的应急响应,整个流程将再次重复。
能否打破该循环,取决于一项关键因素:医疗行业能否在国产化政策方向之外,同步推动建立AI Agent的行业安全基线。
在此提出一个可供同行驳斥的制度性判断:在当前阶段,AI Agent进入医院场景的安全评估,更合理的路径应是参照医疗器械准入逻辑建立评估框架,而非简单将其纳入现有网络安全等级保护评估体系。原因在于,等级保护评估针对的是行为确定的系统,而Agent的核心特征是其行为具备不确定性,两者所覆盖的风险维度存在本质差异。
然而该判断同时揭示了一个结构性矛盾:安全基线的建立需以充分的行业实践样本为基础,而这些样本又需通过一定规模的试点应用才得以积累。若医院在相关标准出台前全面禁用Agent类工具,那么待标准正式发布时,行业对该类工具在真实医疗环境中的行为特征认知,恐怕仍仅限于理论推演。
等待标准出台再应用,将无法积累实战经验;先行应用而不等待标准,一旦出现问题信息科将承担全部责任。双方均具备其合理的立足点,且在现实中均难以说服对方。
国产化显然无法解决上述矛盾。
因为AI Agent所提出的问题,并非“该软件由谁开发”,而是“该软件在系统内被允许执行哪些操作”。前者可通过调整采购清单予以回应,后者则需重新设计系统的安全边界。
随着AI Agent技术的持续演进,类似场景很可能不断重现。医院信息科将长期处于两种压力的拉锯之中:一方是技术发展带来的推动力,另一方是现行管理体制所划定的边界。然而核心问题其实并不复杂:OpenClaw所暴露的并非“境外软件风险”,而是一个更为基本的现实——医院信息系统从未为高权限自主执行体的部署做好准备。
在此环境下,更换一款国产Agent并不会使系统更安全,它只是让同类风险以不同名称继续存在。