夜雨聆风近期,开源AI智能体框架OpenClaw引发全球应用热潮,国内众多企业快速跟进、应用热度持续飙升。但该框架具备高阶系统权限,默认安全配置存在短板,对提示注入攻击防护能力不足,易遭受恶意插件投毒等高危风险隐患,数据泄露、恶意删除、系统非法控制等安全事件频发,智能体安全防护工作亟待加强。
为切实筑牢智能体安全应用防线,为政府部门、企业及个人用户提供选型依据,中国信息通信研究院启动了OpenClaw类智能体安全防护产品有效性测试验证工作,从沙箱隔离、配置安全、暴露面检测、漏洞检测、权限控制、数据保护、插件安全、接口安全、提示注入攻击防护等维度,对产品的防护场景覆盖度、防护成功率、对业务性能的影响程度等开展技术评估,切实保障OpenClaw类智能体在各行业的安全合规落地与规模化应用。
在本轮评估中,北京火山引擎科技有限公司的AI助手安全顺利通过评估,首批获得能力评估证书。
参评企业和产品介绍
注:以下内容为企业提供。
火山引擎是字节跳动旗下云和AI服务平台,将字节跳动快速发展过程中积累的增长方法、技术能力和应用工具开放给外部企业,通过云和AI技术,推进企业智能化转型,激发增长潜能。目前已经有超过100万企业和个人使用了火山引擎的大模型服务;超过100家企业在火山引擎上累计Tokens使用量超过了一万亿,他们正在深度、广泛地使用大模型。
AI助手安全为OpenClaw等Al助手提供全生命周期的安全防护体系。通过Skills运行时沙箱隔离、行为治理策略、数据加密防护与统一安全管控四大能力,系统性解决提示词注入、权限滥用、密钥泄露及恶意Skills攻击等技术痛点。让企业和个人用户能放心地释放AI助手的全部潜力,使智能体在安全可控的环境中成为真正可靠的生产力工具。
评估项目介绍
本次 OpenClaw类智能体安全防护产品有效性测试验证工作,聚焦智能体实际应用中的安全痛点与防护需求,围绕基础环境安全、权限与数据安全、应用安全等维度开展精细化的安全能力评估:
1.基础环境安全维度:包括沙箱隔离、暴露面检测、配置安全、漏洞检测等评估项,验证产品构建安全运行底座的能力,包括沙箱隔离有效性、公网暴露实时检测与处置、配置全生命周期安全管控、智能体本体及框架漏洞挖掘与监测等关键指标。
2.权限与数据安全维度:包括细粒度权限管控、权限审计、敏感数据识别、加密保护、操作审计等评估项,遵循最小权限原则,验证产品在多维度权限隔离、双重身份认证、敏感数据全链路保护、操作行为审计与追溯等方面的技术实现效果。
3.应用安全维度:包括提示注入攻击防护、插件安全检测、接口安全管控等评估项,验证产品对各类提示词攻击的精准识别与实时拦截能力、恶意插件的全流程检测与快速处置能力、智能体外部接口的异常检测与安全防护能力。
评估流程
评估流程主要包括商务确认、评估对接、评估排期、评估执行、专家评审、结果发布宣传等。具体流程如下图所示:
咨询联系人
静 静
15810821574(同微信)jingjing@caict.ac.cn
