夜雨聆风2026年开年以来,OpenClaw凭借自主完成跨系统任务协同、自动化运维等复杂操作的能力,在开发者社区与数字化场景中快速普及,中国地区下载量持续领跑全球。然而,技术红利背后暗藏严峻挑战。2026年3月,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)联合国家互联网应急中心(CNCERT)连续发布安全预警,指出OpenClaw存在原生漏洞、公网暴露、权限管控缺位、提示词注入、技能组件(Skills)恶意投毒等多重风险,部分案例已导致系统被控、核心数据泄露、生产文件误删等严重后果,既威胁个人隐私安全,也对企事业单位的关键信息系统构成实质性威胁,合规可信验证刻不容缓。
面对日益凸显的OpenClaw应用风险,国内产业链各方迅速行动、多元布局。云服务商相继推出托管式部署方案与隔离运行环境,大幅降低技术门槛;大模型厂商开发适配OpenClaw的本地化、私有化版本,强化数据不出域能力;安全企业则聚焦漏洞检测、行为审计、权限收敛等防护环节,推出系列加固工具与监控平台;还有集成商提供部署加固一体化方案,覆盖个人到企业全场景。市场供给快速丰富的同时,产品能力参差不齐、防护效果难以量化、合规边界模糊等问题逐渐浮现,用户亟需权威、统一的评估标准来甄别产品可信度,确保OpenClaw类智能工具合规可用。
在此背景下,中国信息通信研究院(以下简称"中国信通院")正式启动首批OpenClaw类智能应用可信评估工作,旨在建立行业基准、引导规范发展,为智能化新技术规模化应用筑牢底座。具体包括三类评估:OpenClaw类智能云服务可信评估,企业版OpenClaw类智能工具可信评估,Agent Skills可信评估。
1. OpenClaw 类智能云服务可信评估
本评估面向OpenClaw类应用云端部署场景开展全维度能力可信验证。评估涵盖五大方面:在资产与供应链可信方面,重点检测AI物料清单完整性、Skill组件来源可信度及依赖库漏洞扫描覆盖率;在基础环境与配置可信方面,验证运行环境隔离有效性、网络暴露面收敛情况及版本补丁更新合规性;在身份与权限可信方面,考察Agent身份标识唯一性、细粒度权限管控及关键操作二次授权机制;在运行行为与威胁检测方面,测试提示词注入防护成功率、异常执行行为检测覆盖率及Skill运行时监控能力;在数据保护与审计方面,评估Token消耗监控与流量审计能力、敏感数据加密存储能力、全链路操作审计完整性及日志溯源响应时效。通过百余项量化指标,全面衡量OpenClaw类云服务的可信水平。
2. 企业版OpenClaw类智能工具可信评估
本评估面向企业私有化部署的OpenClaw类智能工具,从基础设施加固、运行行为管控、资源用量审计三大方向构建可信验证框架。评估重点考察:部署环境可信、操作权限治理、供应链风险管控以及资源用量管理能力。配套提供覆盖部署全周期的自查清单,帮助企业系统性识别配置缺陷与管理盲区,推动OpenClaw类智能工具从功能可用向行为可信演进,满足关键行业合规要求。
3. Agent Skills可信评估
本评估围绕SKILL.md、scripts、references、assets四大核心组件,从安全、合规、性能、成本、质量五个维度对技能进行全面评测,覆盖技能开发、集成、部署的全生命周期。评估面向技能开发者、云厂商、企业用户及行业客户。提供代码漏洞扫描、权限边界检测、沙箱隔离验证、资源消耗分析、成本优化策略等方面的能力评估,帮助用户全面识别技能风险、优化应用效能,符合行业可信合规标准。
评估流程
1
评估报名
报名时间即日起至2026年6月10日
参评单位参考相关新闻、评测目录,确定评测意向,将单位名称、联系人、联系电话、参评项目发送至huangjinfei@caict.ac.cn。
2
合同签订
报名完成后与中国信息通信研究院签订商务合同。
3
技术测试
合同确认后,我院安排测试人员对接,向参评单位提供详细测试方法,并根据准备情况排期开展正式评估。
4
专家评审
本批评测结束后,由我院组织技术专家对参评产品进行答辩评审。
5
获取证书
专家评审通过之后,可获得可信云评估证书。证书将在可信云官网(https://kexinyun.org.cn/)同步更新。
评估咨询联系人
黄老师 huangjinfei@caict.ac.cn 13301311917
