夜雨聆风朋友们好,今天聊聊🦞龙虾安全风险和防控指引:
篇幅较长建议先关注收藏也可戴耳机🎧收听
人工智能技术正经历从“感知理解”到“决策执行”的本质跨越,AI智能体作为大模型技术与场景落地的核心载体,已成为驱动企业数字化转型、提升个人效率的核心生产力工具。
其中,OpenClaw(业内俗称“龙虾”)凭借开源开放、轻量化部署、可扩展技能生态等核心优势,快速覆盖政企办公、开发运维、个人应用、金融交易等多元场景,成为国内普及率最高的开源智能体框架之一。
但技术普及的背后,安全风险正同步加速暴露。从个人敏感信息泄露到企业内网横向渗透,从供应链恶意攻击到系统权限被非法劫持,从自动化交易失控到合规红线突破,OpenClaw相关安全事件已呈现高频爆发态势,引发监管机构、科研院所与产业界的高度警惕。工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)已专项发布安全预警,联合产业各方提出安全使用规范;国家发展改革委、网信办等监管部门持续明确AI安全治理的底线要求;中国信通院、中国科学院、清华大学等权威机构相继发布智能体安全研究成果,揭示开源智能体的系统性风险。 作为国内大模型与智能体产业的参与者始终坚持“安全为发展第一前提”的理念,深刻认识到开源智能体的安全风险绝非单一漏洞问题,而是覆盖技术架构、供应链、权限管控、合规管理、用户意识的全链条系统性风险。
本报告联合政产学研多方权威成果,基于工信部NVDB预警要求,结合中国信息通信研究院、中国科学院产业端调研与实践,全面拆解OpenClaw的风险根源、场景化风险点,提出分主体、可落地的全维度防控指引,为政企单位、个人用户安全应用智能体提供思考,助力我国AI智能体产业健康、有序、可持续发展。
01 产业现状:开源智能体爆发式普及与安全能力的结构性错配
AI智能体已成为产业数字化的核心基础设施
据中国信息通信研究院《AI智能体产业发展白皮书(2025年)》数据显示,2025年我国AI智能体核心产业规模突破800亿元,年复合增长率超过120%,企业级应用渗透率已达37.6%,覆盖政务、金融、制造、互联网、医疗等近20个行业。相较于传统大模型应用,智能体实现了“自然语言理解-决策判断-工具调用-指令执行-结果反馈”的全闭环能力,彻底打破了AI“只说不做”的局限,成为企业降本提效、个人提升效率的核心工具。
在产业普及进程中,开源模式成为重要的助推力。闭源智能体服务普遍存在定制化能力弱、部署成本高、数据可控性不足等问题,而以OpenClaw为代表的开源智能体框架,支持本地化部署、全功能自定义、第三方技能扩展,大幅降低了智能体的应用门槛,成为中小微企业、开发者、个人用户的首选方案。
OpenClaw的快速普及与应用场景全覆盖
OpenClaw开源项目自发布以来,凭借低代码接入、多系统兼容、丰富的技能生态等优势,快速占领市场。截至2026年一季度,该项目在全球主流代码托管平台的累计星标数突破15万,国内累计部署实例超60万个,用户覆盖从个人开发者到中大型企业,应用场景已渗透到生产经营与个人生活的方方面面。 清科研究院、36氪联合发布的《2026开源智能体应用调研》显示,OpenClaw的用户场景分布呈现四大核心板块:智能办公场景占比42.3%,开发运维场景占比28.7%,个人助手场景占比17.5%,金融交易场景占比11.5%,四大场景合计覆盖了99%以上的用户需求。正是这种全场景的普及,使得其安全风险的影响范围被无限放大,一旦出现系统性安全问题,将波及海量用户与机构。
安全能力与应用规模的严重错配
与OpenClaw快速普及形成鲜明对比的,是全行业安全防护能力的严重缺失。西安电子科技大学网络空间安全学院的攻防调研数据显示,国内已部署的OpenClaw实例中,超过83%存在高危安全漏洞,76%的实例存在过度授权问题,68%的实例未开启完整日志审计功能,91%的第三方技能包未经过完整的安全审计。
这种错配的核心根源在于三个层面:一是开源项目的安全责任边界模糊,开源社区仅提供基础代码,安全防护的责任完全转移给用户,而绝大多数用户不具备专业的安全审计与防护能力;二是用户安全意识严重不足,多数用户只关注智能体的提效能力,完全忽视其“自主执行”特性带来的不可逆风险,为了便利随意开放最高权限、使用不明插件;三是开源生态的安全治理缺失,技能市场的第三方插件缺乏强制审核机制,成为供应链攻击的核心突破口,最终形成了“人人都在用,处处有风险”的行业现状。
02 风险根源:OpenClaw安全风险的底层逻辑与核心特征
不同于传统软件或单纯的大模型应用,OpenClaw的安全风险并非来自单一的代码漏洞,而是由其技术架构、能力特性、开源生态共同决定的系统性风险,风险量级呈指数级放大。中国科学院自动化研究所的研究指出,智能体的安全风险已从传统AI的“内容安全”,延伸到“行为安全、系统安全、数据安全、供应链安全”的全链条,具备主动性、实时性、不可逆性三大核心特征,一旦触发风险,将造成直接、实质性的损失。
能力叠加导致风险边界无限扩张
传统大模型的核心能力是信息生成与内容输出,风险主要集中在内容合规层面,即便出现不当输出,也需要用户手动执行才会产生实际危害。而OpenClaw作为智能体框架,整合了六大核心执行能力:自然语言理解与决策能力、代码生成与自动执行能力、操作系统权限调用能力、跨系统跨平台API对接能力、互联网与内网访问能力、第三方插件扩展能力。 每一项能力都对应着一个独立的风险面,而能力的叠加使得风险呈几何级放大。例如,针对普通大模型的提示词注入攻击,最多只能生成违规内容;而针对OpenClaw的提示词注入,可直接诱导其执行高危系统命令、删除服务器文件、窃取敏感数据,甚至接管整个设备与系统,风险的破坏力完全不在一个量级。上海交通大学网络安全技术研究院的攻防实验显示,针对OpenClaw的提示词注入攻击,绕过权限管控的成功率超过75%,远高于传统大模型应用。
开源架构带来的攻防不对称性
OpenClaw的全开源特性,在推动技术创新的同时,也带来了天然的攻防不对称。一方面,攻击者可以完整获取项目的全部源代码,全面研究其架构设计、权限逻辑、接口规范,精准挖掘潜在的安全漏洞,甚至针对其特性开发专门的攻击工具;另一方面,绝大多数普通用户没有能力对开源代码进行全量安全审计,只能直接使用默认配置部署,相当于将系统的底层逻辑完全暴露给攻击者,处于完全被动的防守地位。 更值得警惕的是,开源项目的安全维护高度依赖社区力量,而社区的安全更新往往滞后于漏洞的发现与利用。工信部NVDB平台监测数据显示,2025年以来,OpenClaw相关的公开漏洞已超过40个,其中高危漏洞占比超过60%,而超过半数的用户仍在使用存在已知高危漏洞的历史版本,未能及时更新补丁。
插件生态引发的供应链安全失控
ClawHub技能市场是OpenClaw的核心竞争力,也是最大的安全风险源头。用户可以通过下载第三方开发者发布的技能包,快速扩展智能体的功能,无需自行开发。但这种开放的生态模式,形成了一条完全不受控的供应链条,带来了严峻的安全隐患。 清科研究院的调研数据显示,超过72%的OpenClaw用户使用过第三方技能包,其中仅12%的用户会对技能包的代码进行完整的安全审查,超过60%的用户直接按照插件说明授予全部权限,完全不作任何限制。而工信部NVDB的预警信息明确指出,已监测到多起针对OpenClaw技能包的恶意代码投放事件,攻击者通过伪装成办公自动化、量化交易、文档处理等常用插件,诱导用户下载安装,进而实施后门植入、数据窃取、勒索攻击等恶意行为。 更严重的是,供应链攻击具备极强的隐蔽性和传播性。恶意技能包往往表面上能正常实现所需功能,恶意代码隐藏在底层,用户很难察觉;一旦安装,不仅会危害部署设备本身,还可能作为跳板渗透企业内网,甚至通过用户之间的插件分享实现大规模扩散。
权限管控缺陷与用户误用形成的风险敞口
OpenClaw的默认配置并未严格遵循“最小权限原则”,而用户的误用进一步放大了权限风险。西安电子科技大学的调研显示,超过80%的OpenClaw安全事件,核心根源都在于过度授权与权限管控不当。在企业部署场景中,很多用户为了避免权限不足导致的功能异常,直接使用root、管理员等最高权限账号部署OpenClaw,同时为其开放了全内网的访问权限、核心系统的读写权限,相当于给智能体开放了企业系统的“万能钥匙”。一旦智能体被攻击或诱导,攻击者可以直接获得企业系统的最高权限,造成毁灭性的损失。 在个人使用场景中,多数用户直接给智能体开放了整个硬盘的读写权限、系统配置修改权限,甚至将其直接暴露在公网,完全没有任何访问限制,极易被攻击者扫描发现并入侵,导致个人信息泄露、设备被劫持、资产被盗等风险。
审计追溯机制缺失导致的合规与处置困境
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规明确要求,网络运营者、数据处理者必须留存完整的网络日志、操作日志,具备安全事件追溯与处置能力。但在实际应用中,大量用户在部署OpenClaw时,要么直接禁用了日志审计功能,要么日志留存不符合合规要求,要么没有对日志进行定期监测分析。 这带来了双重风险:一是合规风险,党政机关、企事业单位若未落实日志审计要求,将违反网络安全等级保护相关规定,面临监管处罚;二是应急处置困境,一旦发生安全事件,用户无法追溯攻击来源、攻击路径和造成的损失,难以快速止损,甚至在事件发生后很长时间都无法察觉,导致风险持续扩大。
03 全景扫描:四大核心场景的安全风险深度拆解
OpenClaw的安全风险在不同应用场景中呈现出差异化的特征,风险的破坏力、影响范围和防控重点各不相同。本报告基于四大主流应用场景,结合各行业的实践案例与权威研究,对场景化风险进行全面拆解,并明确核心防控要点。
智能办公场景:
供应链攻击与内网渗透的重灾区 智能办公是OpenClaw应用最广泛的场景。36氪行业调研显示,超过40%的企业用户部署OpenClaw,核心用于对接企业内部OA、ERP、CRM、财务系统、知识库等核心管理平台,覆盖公文流转、文档智能处理、经营数据分析、行政流程自动化、财务凭证审核、企业知识库构建等高频办公场景,成为企业数字化办公的重要辅助工具。 该场景的核心安全风险集中在三个维度,且极易造成企业核心商业秘密与经营数据的大规模泄露: 供应链攻击风险:企业用户为了适配办公场景,往往会下载第三方开发的办公类技能包,而这类插件是供应链攻击的主要载体。恶意插件可在用户无感知的情况下,植入后门程序、窃取企业内网数据、上传敏感文件,甚至发起勒索攻击。
工信部NVDB已监测到多起相关事件,某中小企业因安装了伪装成“财务报表自动生成”的恶意插件,导致企业财务数据、客户信息全部泄露,直接经济损失超百万元。内网横向渗透风险:多数企业将OpenClaw直接部署在办公内网,未做任何网络隔离,同时对接了多个核心业务系统。一旦OpenClaw被攻破,攻击者将以其为跳板,在内网进行横向渗透,访问所有对接的系统与数据库,获取企业经营数据、商业秘密、员工个人信息等敏感内容,甚至加密内网服务器实施勒索。更有甚者,攻击者可通过办公网络渗透到企业生产系统,造成业务停摆。合规与法律风险:企业办公场景涉及大量商业秘密、受监管的敏感数据与个人信息,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》,企业对这些数据负有法定的保护责任。若因OpenClaw部署不当导致数据泄露,企业不仅要承担对用户、员工的民事赔偿责任,还将面临监管部门的行政处罚,情节严重的,相关负责人还将承担刑事责任。同时,日志审计缺失、权限管控不当等问题,本身就违反了网络安全等级保护的合规要求,存在被监管问责的风险。 针对该场景的核心防控要点:必须采用独立网段隔离部署,与企业关键生产环境、核心业务系统严格隔离;部署前必须进行全量安全测试,严格遵循最小权限原则,仅授予完成任务必需的最小权限,禁止非必要的跨网段、跨系统访问;严禁使用未经安全审计的第三方技能包;必须开启全链路日志审计,留存完整的操作与运行日志,满足合规审计要求。
开发运维场景:
系统劫持与敏感信息泄露的高风险区 OpenClaw的代码生成、指令执行能力,使其成为开发与运维人员的高频使用工具,广泛应用于代码编写与调试、自动化测试、设备巡检、系统监控、配置备份、故障排查、进程管理等场景,尤其在中小研发团队中普及率极高,大幅降低了开发运维的门槛。 该场景直接对接企业的开发环境、生产服务器、核心数据库,一旦出现安全问题,将直接威胁企业业务系统的底层安全,核心风险包括: 非授权命令执行与系统劫持风险:OpenClaw具备直接执行shell命令、系统指令的核心能力,而其默认配置对高危命令的拦截能力严重不足。攻击者可通过提示词注入、恶意插件等方式,诱导智能体执行高危命令,比如关闭防火墙、删除系统文件、添加恶意管理员账号、开启远程后门,甚至直接接管整个服务器、运维集群。上海交通大学的攻防研究显示,针对OpenClaw的提示词注入攻击,有62%的目标是诱导执行高危系统命令,且绕过成功率极高。核心敏感信息泄露风险:在开发运维场景中,用户往往会将云平台API密钥、服务器账号密码、数据库连接信息、内网网络拓扑结构等核心敏感信息,提供给OpenClaw以辅助完成运维操作。若这些信息未加密存储,或智能体被攻破,将直接泄露给攻击者,攻击者可利用这些信息直接入侵企业的核心生产系统、数据库,造成数据泄露、业务中断、系统瘫痪等灾难性后果。国内某互联网创业团队曾因在OpenClaw配置文件中明文存储云平台密钥,导致密钥被窃取,全量云服务器数据被恶意删除,业务完全停摆。代码安全与知识产权风险:开发者使用OpenClaw辅助编写代码时,其生成的代码可能存在未被发现的安全漏洞,若直接应用到生产环境,将埋下长期的安全隐患;同时,生成的代码可能包含开源许可冲突的内容,直接使用将引发知识产权侵权的法律风险。此外,若将企业的核心代码、商业逻辑、技术专利相关内容输入智能体,还可能导致企业核心商业秘密泄露。 针对该场景的核心防控要点:严禁在生产环境直接部署使用,优先在虚拟机、沙箱、容器等隔离环境中运行;绝对禁止授予管理员、root等最高权限,严格遵循最小权限原则;建立高危命令黑名单与拦截机制,所有系统命令执行、高危操作必须经过人工审批;严禁明文存储账号密码、API密钥等敏感信息;对智能体生成的代码,必须经过安全审计与测试后方可使用。
个人助手场景:
个人信息泄露与设备劫持的高发区 个人用户是OpenClaw的重要使用群体,多数用户在个人电脑、私人服务器上部署OpenClaw,作为个人助手,用于日程管理、文件整理、事务提醒、学习辅助、生活服务等场景,部分用户还会通过互联网远程接入,实现随时随地访问。 个人用户普遍缺乏专业的安全防护能力与风险意识,是安全事件的高发群体,核心风险包括: 权限滥用与数据泄漏风险:多数个人用户为了使用便利,直接给OpenClaw开放了整个设备的文件读写权限,甚至系统管理员权限。一旦智能体被恶意提示词诱导,或被攻击者入侵,将导致用户的个人照片、工作文档、财务信息、身份信息等全部隐私数据被窃取、修改或删除,甚至被加密勒索。公网暴露带来的入侵风险:很多个人用户为了实现远程访问,直接将OpenClaw实例暴露到公网,却未采取任何安全防护措施——既没有使用加密通道,也没有设置强密码,更没有限制访问源IP。工信部NVDB监测数据显示,截至2026年2月,国内公网上暴露的OpenClaw相关实例超3.2万个,其中82%的实例存在弱口令、未授权访问等高危漏洞,攻击者可通过端口扫描轻易发现并入侵,直接接管用户的设备与智能体。敏感凭证泄漏风险:个人用户常将各类平台的API密钥、账号密码、支付相关信息存储在OpenClaw的配置文件或知识库中,且多数为明文存储。一旦智能体被入侵,这些敏感凭证将直接泄露,导致用户的网络账号被盗、个人资产受损,甚至被用于违法犯罪活动。提示词注入与智能体接管风险:很多用户会让OpenClaw读取陌生文档、网页链接、邮件内容,而这些内容中可能隐藏着恶意提示词注入指令。一旦读取,指令将绕过用户的限制,接管智能体的控制权,在用户无感知的情况下执行恶意操作,造成持续的安全隐患。 针对该场景的核心防控要点:严格控制权限范围,仅允许智能体访问必要的文件目录,绝对禁止授予系统管理员权限;严禁将实例直接暴露到公网,确需远程访问的,必须使用SSH等加密通道,设置强密码与访问源限制;API密钥、账号密码等敏感信息必须加密存储,严禁明文保存;禁止让智能体访问来历不明的网站、读取不可信的文档,对高危操作必须设置二次确认;开启日志审计功能,定期排查异常行为。
金融交易场景:
资金损失与合规风险的高危领域
随着量化交易、智能投研的普及,越来越多的个人投资者、私募机构、量化团队开始使用OpenClaw,通过对接金融数据接口、券商交易API,实现市场数据抓取、行情分析、策略生成、自动化交易、资产组合管理等功能,开源可定制的特性使其成为中小量化团队的热门选择。 金融场景直接关联用户的资金安全,且属于强监管领域,安全风险的破坏力极强,一旦出现问题,将造成不可逆的巨额资金损失,核心风险包括: 策略投毒与错误交易风险:智能体的交易决策高度依赖输入的市场数据与学习的策略逻辑。攻击者可通过伪造市场公告、注入虚假行情数据、实施记忆投毒等方式,误导智能体的分析判断,使其生成错误的交易策略,引发巨额交易亏损。即便是非恶意的逻辑漏洞,也可能导致智能体对市场行情判断失误,造成不必要的损失。账户接管与交易凭证窃取风险:为了实现自动化交易,用户往往会将券商交易账户、API密钥、资金密码等核心凭证,直接交给OpenClaw管理,甚至存储在配置文件中。若智能体被入侵,或使用了包含恶意代码的第三方交易插件,这些凭证将被直接窃取,攻击者可接管交易账户,实施恶意交易、转移资金等操作,给用户造成直接的经济损失。
中信建投证券《金融科技安全报告(2025)》显示,2025年国内发生的多起量化交易账户被盗事件,均与开源智能体滥用、交易API密钥泄露直接相关。智能体失控与极端交易风险:自动化交易的智能体,一旦出现逻辑漏洞、被攻击篡改,或遭遇极端行情,可能出现完全失控的情况,比如高频反复下单、无差别买卖,不仅会给投资者造成巨额的手续费亏损与交易损失,还可能扰乱市场正常秩序。而很多用户在部署时,未设置任何熔断机制、止损限额与人工复核环节,一旦出现失控,根本来不及人工干预止损。强监管下的合规风险:金融行业是国家强监管领域,证监会、国家金融监督管理总局对金融机构的交易系统、自动化交易工具有严格的安全合规要求。中小私募机构、金融相关企业若直接使用未经安全验证、合规评估的OpenClaw开源智能体开展交易相关业务,不仅存在安全隐患,还将违反金融监管规定,面临监管问责与行政处罚。 针对该场景的核心防控要点:必须实施严格的网络隔离,关闭非必要的互联网端口与访问权限;严禁无人工干预的全自动交易,所有交易指令必须经过人工复核,设置严格的熔断机制、止损限额与应急处置方案;强化供应链安全审核,仅使用官方组件,严禁使用未经审计的第三方交易类插件;交易API密钥、账户信息等核心敏感信息,必须采用最高级别的加密存储与权限管控;落实全链路审计与实时安全监测,及时发现并处置异常行为。
04 权威共识:政产学研各界的风险预警与治理导向
OpenClaw的安全风险,已成为监管机构、科研院所、产业界的共同关注焦点,各方已形成明确的共识:安全是智能体产业发展的生命线,开源创新决不能以牺牲安全为代价,必须坚持发展与安全并重,构建全链条的风险防控体系。
监管层面:
明确安全底线,划定合规红线 国家相关监管部门已针对人工智能与智能体安全,出台了一系列法律法规与政策指引,明确了各方的安全责任与合规要求,为OpenClaw的规范使用划定了底线。 - 工业和信息化部:作为人工智能与网络安全行业的主管部门,工信部NVDB平台专门针对OpenClaw安全风险,组织智能体提供商、漏洞收集平台、网络安全企业等机构,开展专项风险研判,发布安全预警,提出“六要六不要”核心安全指引,为各类用户规范使用OpenClaw提供了明确的操作规范。同时,工信部在《人工智能产业高质量发展行动计划》等政策中,明确要求人工智能产品与服务必须落实安全主体责任,强化全生命周期安全管理,防范化解各类安全风险。
国家发展和改革委员会:在《“十四五”数字经济发展规划》《加快人工智能产业创新发展实施方案》等政策中,明确提出要坚持发展和安全并重,构建人工智能安全治理体系,加强开源人工智能技术与产品的安全管理,完善风险防控机制,推动人工智能产业健康可持续发展。- 国家网信办、公安部等部门:通过《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《生成式人工智能服务管理暂行办法》等法律法规,构建了完善的法律监管框架,明确了开源项目运营方、智能体使用方、数据处理者的法定安全责任,要求各类主体必须落实网络安全与数据保护义务,否则将承担相应的民事、行政乃至刑事责任。
科研学术层面:
揭示风险本质,提供技术支撑 国内顶尖科研机构与高校,已针对智能体安全开展了大量深入的研究,全面揭示了开源智能体的风险机理,为风险防控提供了坚实的学术支撑与技术方案。 - 中国信息通信研究院:在《AI智能体安全白皮书(2025年)》中明确指出,智能体的安全风险已从“内容安全”延伸至“行为安全、系统安全、数据安全、供应链安全”的全链条,开源智能体的核心风险点集中在权限管控缺失、供应链安全失控、审计追溯能力不足三大方面,亟须建立覆盖全生命周期的安全防护体系。目前,信通院正牵头制定AI智能体安全系列标准,将为行业提供统一的安全规范与评估依据。- 中国科学院、中国工程院:多位院士专家多次强调,从大模型到智能体的演进,带来了安全风险的本质变化——智能体具备了自主决策与自动执行的能力,其风险具有主动性、实时性、不可逆性,必须提前布局安全技术研究,建立前置性的风险防控机制,尤其是在关键行业、关键领域,必须坚持“安全第一、审慎应用”的原则,坚决守住安全底线。- 清华大学、北京大学、浙江大学、上海交通大学、西安交通大学、西安电子科技大学等高校:在智能体攻防对抗、提示词注入防护、开源供应链安全、权限动态管控、行为审计追溯等领域,产出了一系列突破性研究成果,不仅全面揭示了OpenClaw这类开源智能体的攻击面与风险点,还研发了对应的安全防护技术方案,为产业界的安全防控提供了核心技术支撑。
产业层面:
正视风险挑战,凝聚防控共识 行业研究机构、金融机构、科技企业等产业各方,基于自身的调研与实践,对开源智能体的风险形成了清晰的认知,普遍认为必须强化全行业的安全意识,构建协同防控的产业生态。 - 清科研究院、36氪:通过全行业调研发现,开源智能体的应用增速远超市场预期,但用户的安全防护能力与风险意识严重滞后,大量用户存在违规部署、过度授权、滥用第三方插件等问题,安全隐患十分突出。行业亟须加强风险科普,为用户提供清晰、可落地的安全指引,帮助用户规避风险。- 中信建投证券、中信集团等金融机构:针对金融领域智能体应用发布专项研究报告,明确了金融场景智能体应用的安全红线,强调必须坚持“人机协同、人工兜底”的核心原则,严禁无监管的全自动交易,强化供应链安全管理与全流程审计,坚决守住交易安全与合规底线。
05 全维度防控:分主体的安全应对指引与落地规范
基于OpenClaw的风险特征与场景化差异,结合工信部NVDB“六要六不要”核心要求,本报告针对不同类型的用户主体,提出差异化、可落地的安全防控指引,明确各类主体的防控重点与操作规范,帮助用户全面规避安全风险。
党政机关及关键信息基础设施运营单位
这类用户涉及国家秘密、关键基础设施安全,是网络安全重点保护对象,必须采取最严格的防控措施,核心原则是审慎使用、严格审批、全面隔离、全程管控。
1. 严格准入审批管理:原则上禁止在涉密网络、关键生产系统、核心业务系统中部署使用OpenClaw等开源智能体;确需在非涉密办公网使用的,必须经过单位保密部门、安全部门的联合安全评估与严格审批,明确限定使用场景、功能范围与权限边界,严禁超范围、超权限使用。
2. 实施最严格的网络隔离:必须在独立的物理或逻辑隔离网段部署,与涉密系统、生产系统、核心业务系统实现完全隔离,禁止跨网段访问,严禁接入互联网;确需对接内部非涉密系统的,必须通过专用接口严格管控,仅开放完成任务必需的最小接口权限,绝对禁止对接管理员账号。
3. 极致化的权限管控:严格遵循最小权限原则,仅授予完成指定任务必需的最低权限,绝对禁止使用管理员、root等最高权限账号部署;建立全覆盖的高危操作清单,对文件读写、数据外传、系统配置修改、指令执行等所有操作,均需设置严格的人工审批与二次确认机制,严禁任何自动执行的高危操作。
4. 全闭环的供应链安全管控:必须使用官方渠道发布的最新稳定版本,及时跟进官方安全公告与补丁更新,严禁使用第三方修改版、历史版本、非官方镜像;原则上严禁使用任何第三方技能包、插件,确需开发自定义功能的,必须由本单位或具备国家级资质的安全机构进行全代码安全审计,确认无风险后方可使用。
5. 完善的审计与应急机制:必须开启全链路、全维度的详细日志审计功能,完整留存所有操作日志、运行日志、接口调用日志,日志留存时间严格符合等保2.0与相关法律法规要求;建立专门的应急处置预案,一旦发现异常行为,立即断开网络、停止服务,开展应急处置与溯源分析,并按规定及时上报监管部门。
6. 严格的人员管理:对所有使用智能体的工作人员,开展专门的安全培训与保密教育,明确安全责任与操作规范,签订保密承诺书,严防社会工程学攻击、内部违规操作等风险。
企事业单位
(含金融机构、互联网企业、中小微企业等)这类用户是OpenClaw的主要使用群体,涉及商业秘密、经营数据、用户个人信息,核心防控原则是先评估后使用、隔离运行、最小权限、全程监测。
1. 部署前全面安全评估:在正式部署使用前,必须组织企业技术团队、安全团队,或委托专业安全机构,对OpenClaw的源代码、架构设计、功能逻辑进行全面的安全测试与风险评估,明确潜在风险点,制定对应的防控措施,严禁未经安全测试直接部署到办公内网或生产环境。
2. 严格的隔离运行机制:优先在容器、虚拟机、沙箱等隔离环境中部署运行,严禁直接部署在核心业务服务器、生产环境服务器;与企业内网其他系统进行严格的网络隔离,仅开放必要的网络访问权限,禁止非必要的跨系统、跨设备访问。
3. 全流程的权限与操作管控:严格遵循最小权限原则,仅授予完成业务必需的最小权限,禁止使用管理员权限部署;建立高危命令黑名单与拦截机制,对删除文件、修改系统配置、执行系统命令、外传敏感数据等高危操作,必须设置二次确认或人工审批流程,严禁无审批的自动执行。
4. 强化供应链安全管理:必须从官方渠道下载最新稳定版本,及时关注官方安全公告与监管部门的漏洞预警,定期更新安全补丁,关闭非必要的功能、端口与服务;审慎使用第三方技能包,确需使用的,必须对代码进行全面的安全审计,严禁使用要求执行shell脚本、输入密码、下载不明文件的技能包。
5. 全周期的数据安全保护:对接内部系统、数据库时,仅开放必要的只读权限,禁止授予修改、删除数据的权限;对企业商业秘密、用户个人信息等敏感数据,必须先进行脱敏处理,严禁将未脱敏的敏感数据传入智能体;建立敏感数据外传的严格管控机制,防止数据泄露。
6. 建立长效安全防护机制:开启完整的日志审计功能,留存所有操作日志,定期开展安全巡检、漏洞扫描与渗透测试,及时修补安全漏洞;将智能体的运行监测纳入企业现有网络安全防护体系,通过防火墙、入侵检测系统、杀毒软件等,对智能体的行为进行实时监测,发现异常立即处置;对相关员工开展常态化的安全培训,提升安全意识,防范社会工程学攻击。
7. 金融行业专项防控要求:金融机构、量化交易团队等,必须严格遵守金融监管部门的各项规定,严禁将OpenClaw等开源智能体直接接入生产交易系统;所有交易指令必须经过人工复核,设置严格的熔断机制、止损限额与应急处置方案,严禁无人工干预的全自动交易;交易API密钥、账户信息等核心敏感信息,必须采用国密级加密存储,严格管控访问权限,严禁明文存储或交由智能体自动管理。
个人用户
个人用户安全防护能力薄弱,是风险高发群体,核心防控原则是审慎使用、严控权限、做好防护、杜绝侥幸。
1. 严控部署权限与网络暴露:优先在本地隔离环境中使用,尽量不要将实例暴露到互联网;确需远程访问的,必须使用SSH等加密通道,设置复杂度足够的强密码,严格限制访问源地址,绝对禁止对公网开放无访问限制的实例;严格控制智能体的文件访问权限,仅允许访问必要的文件目录,禁止授予系统管理员权限,禁止访问存储敏感信息的目录。
2. 规范版本与插件使用:必须从官方渠道下载最新稳定版本,及时更新安全补丁,不要使用第三方修改版、破解版、历史版本;尽量不要使用密码、获取敏感权限的不明插件。
3. 严格保护个人敏感信息:各类平台的API密钥、账号密码、个人身份信息、支付信息等敏感内容,严禁明文存储在智能体的配置文件或知识库中,必须采用加密方式妥善保管;不要让智能体读取包含敏感信息的文件、文档,不要轻易将敏感信息输入给智能体。
4. 主动防范各类攻击:不要让智能体访问来历不明的网站、点击陌生链接、读取不可信的文档与邮件,防范提示词注入攻击;对删除文件、修改系统配置、外传数据等高危操作,必须设置二次确认;开启日志审计功能,定期查看运行日志,发现异常行为立即停止服务,全面排查风险。
5. 做好基础安全防护:在部署智能体的设备上,安装正规的杀毒软件与安全防护工具,定期进行病毒扫描与系统补丁更新,关闭非必要的端口与服务,提升设备的基础安全防护能力。
产业生态相关方
(开源社区、技术企业、安全机构、媒体等)开源智能体的安全治理,离不开产业生态各方的协同发力,各相关方需主动承担主体责任,共同构建安全可控的产业生态。
1. 开源社区运营方:切实落实安全主体责任,建立健全开源代码的常态化安全审计机制,及时修复发现的安全漏洞,发布权威安全公告与补丁;强化ClawHub技能市场的管理,建立严格的插件安全审核机制,及时下架恶意插件,防范供应链攻击;优化产品的原生安全设计,默认采用最小权限配置,强化高危操作的拦截与提醒,提升产品的基础安全能力;加强对用户的安全科普与使用指引,提升用户安全意识。
2. 智能体技术提供商:加大智能体安全核心技术的研发投入,推出安全可控的智能体产品与解决方案,为企业和个人用户提供更安全的替代选择;积极参与行业安全标准制定,分享安全实践经验,推动行业整体安全能力提升;配合监管部门做好安全风险预警与处置工作,为用户提供专业的安全技术支持。
3. 网络安全企业:加强对开源智能体安全风险的研究,及时发现、上报相关安全漏洞,发布风险预警;研发针对智能体的安全防护、漏洞检测、恶意代码查杀、行为审计等产品与服务,为用户提供专业的安全解决方案;为企业用户提供安全审计、渗透测试、应急处置等专业服务,帮助用户化解安全风险。
4. 行业媒体与研究机构:加强对智能体安全风险的科普宣传,及时传递监管要求与权威预警,曝光典型安全事件与攻击手段,提升全行业与广大用户的安全意识;开展深入的行业研究,梳理风险趋势与防控方案,为产业发展提供专业参考。
06 生态共建:构建开源智能体安全治理体系的路径建议
OpenClaw暴露的安全风险,是整个开源智能体产业面临的共同挑战。单靠用户的个体防护,无法从根本上解决系统性安全问题,必须推动政产学研用各方协同发力,构建覆盖全链条、全生命周期的开源智能体安全治理体系,实现发展与安全的双向平衡。
1.完善政策监管体系,明确各方责任边界监管部门需进一步完善人工智能尤其是智能体领域的法律法规与监管规则,细化开源智能体项目运营方、插件开发者、使用方的安全责任与义务,厘清开源生态中的责任边界;
2.加强对开源智能体安全风险的常态化监测与预警,及时发布安全指引与规范要求,引导行业规范发展;加大对违法违规行为的查处力度,督促各方落实安全主体责任,筑牢监管底线。加快安全标准制定,统一行业规范要求由中国信通院等权威机构牵头,联合高校、科研院所、龙头企业,加快推进AI智能体安全标准体系建设,制定覆盖智能体研发、部署、运行、运维、插件管理全生命周期的安全标准、测试评估规范、风险防控指南,统一行业的安全基线与合规要求,为企业研发、用户使用、监管执法提供明确的依据,引导行业规范化发展。
3.加强核心技术攻关,提升原生安全能力鼓励高校、科研院所与企业加强协同创新,加大对智能体安全核心技术的研发投入,重点突破智能体行为安全管控、提示词注入防护、恶意代码动态检测、权限动态管控、全链路审计追溯、隐私计算等关键技术,从技术底层解决智能体的安全问题;推动安全技术内置到智能体的研发设计环节,提升开源智能体产品的原生安全能力,从源头降低安全风险。
4.强化产业协同联动,构建联防联控生态建立政产学研用协同的安全治理机制,搭建安全信息共享平台,推动监管部门、科研机构、开源社区、技术企业、安全厂商、用户之间的安全威胁信息、漏洞信息、防护技术共享,形成风险联防联控的合力;针对中小微企业、个人用户安全防护能力不足的问题,推出轻量化、低成本甚至免费的安全检测工具、防护方案,降低用户的安全防护门槛。
5.加强安全宣传教育,提升全行业安全意识通过行业媒体、行业协会、培训机构、社区平台等多种渠道,开展常态化的智能体安全科普宣传,曝光典型安全事件,讲解基础的安全防控知识,破除“开源即安全”“智能体只提效无风险”的错误认知,提升企业与个人用户的安全意识和基础防护能力,引导用户树立“安全第一、规范使用”的理念,从源头减少安全事件的发生。
附录:
部分安全基线及配置参考
一、智能体部署创建OpenClaw专有用户,切勿使用sudo组:sudo adduser --shell /bin/rbash --disabled-password clawuser通过创建的专有用户登录操作系统。创建受限的命令目录,禁止rm、mv、dd、format、powershell等:sudo mkdir -p /home/clawuser/binsudo ln -s /bin/ls /home/clawuser/bin/lssudo ln -s /bin/echo /home/clawuser/bin/echo强制设置 PATH 并只读,如在 /etc/profile.d/restricted_clawuser.sh修改配置:echo 'if [ "$USER" = "clawuser" ]; then export PATH=/home/clawuser/bin; readonly PATH; fi' | sudo tee /etc/profile.d/restricted_clawuser.shsudo chmod 644 /etc/profile.d/restricted_clawuser.sh禁用root登录:sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/' /etc/ssh/sshd_configsudo systemctl restart sshd
二、限制互联网访问
(一)Linux服务器配置创建自定义链:sudo iptables -N ALLOWED_IPS添加允许的IP(IP地址为示例,操作时需替换为实际IP地址):sudo iptables -A ALLOWED_IPS -s 192.168.1.100 -j ACCEPTsudo iptables -A ALLOWED_IPS -s 10.0.0.5 -j ACCEPTsudo iptables -A ALLOWED_IPS -s 172.24.57.160 -j ACCEPTsudo iptables -A ALLOWED_IPS -j RETURN应用到SSH端口:sudo iptables -A INPUT -p tcp --dport 22 -j ALLOWED_IPSsudo iptables -A INPUT -p tcp --dport 17477 -j ALLOWED_IPS此外,可参考上述命令关闭以下端口互联网访问或设置IP地址白名单:Telnet(23)、Windows文件共享(135、137、138、139、445)、Windows远程桌面(3389)、远程桌面控制(5900-5910)、数据库类端口(3306、5432、6379、27017)。
(二)VPN接入的情况下配置将OpenClaw Gateway绑定127.0.0.1,切勿直接绑定到0.0.0.0。关闭18789端口:sudo ufw deny 18789远程访问时强制使用VPN并启用Gateway认证(在openclaw.json中设置gateway.auth.mode: "token"及强令牌)。
三、开启详细日志开启日志记录:openclaw gateway --log-level debug >> /var/log/openclaw.log 2>&1
四、文件系统访问控制在Docker部署配置文件(docker-compose.yml)中,利用volumes参数将系统关键目录挂载为:ro(只读)模式,仅保留特定的/workspace为可写状态。在宿主机系统层,通过chmod 700指令对私密数据目录实施强制访问控制:sudo chmod 700 /path/to/your/workspace
五、第三方技能审查安装前执行技能审查命令:openclaw skills info <skill>并审查~/.openclaw/skills/<skill>/SKILL.md文件,确认无恶意指令(如curl、bash)。优先选用内置55个Skill或社区精选列表(如awesome-openclaw-skills)。
六、安全自检定期运行安全审计命令:openclaw security audit针对审计发现的安全隐患,如网关认证暴露、浏览器控制暴露等,及时按照上述安全基线及配置参考、官方手册等进行处置。
七、更新版本运行版本更新命令:openclaw update
八、卸载打开终端,执行删除命令:openclaw uninstall使用鼠标上下移动光标,按空格键勾选所有选项,然后按回车键确认。选择yes并按回车,此命令会自动删除OpenClaw的工作目录。卸载npm包:1. 使用npm安装openclaw对应卸载命令:npm rm -g openclaw2. 如果使用pnpm安装openclaw对应卸载命令:pnpm remove -g openclaw3. 如果使用bun安装openclaw对应卸载命令:bun remove -g openclaw
写在最后
AI智能体是数字经济时代的核心生产力,开源模式为AI技术的创新与普及注入了强大的活力,让更多企业和个人能够享受到人工智能带来的效率提升。但我们必须清醒地认识到,智能体的自主执行特性,决定了其安全风险远高于传统的软件与AI应用,安全始终是产业发展不可突破的底线。OpenClaw暴露的一系列安全风险,为整个开源智能体产业敲响了警钟。无论是监管机构、科研机构、产业企业,还是每一位用户,都必须正视风险、敬畏风险,将安全放在首位。作为国内大模型与智能体产业的参与者,始终坚守“安全为基”的理念,将安全防护贯穿产品研发与落地的全流程,我们愿意与行业各方携手,共同推动智能体安全技术创新,完善安全治理体系,助力广大用户安全、高效地应用智能体技术。唯有守住安全的底线,才能充分释放智能体技术的创新活力。相信在政产学研用各方的共同努力下,我们一定能够构建起安全可控的智能体产业生态,推动我国人工智能产业实现高质量、可持续发展,为数字中国建设提供坚实的技术支撑。
以上内容基行研可溯仅供学习交流
以上内容不涉及且无任何投资建议
如果此时你已不知前方的路在何处
请关注我 带你破局
