夜雨聆风
2026年第一季度,如果你不在科技圈,可能没听过OpenClaw。但如果你在,你一定被它刷过屏。
这个开源的AI Agent框架在短短两个月内GitHub星标突破25万,Mac Mini一度卖到断货。它的核心能力让人兴奋:让AI直接操作你的电脑——打开浏览器、点击按钮、填写表单、发送消息。你只需要说一句话,AI就像你的数字替身一样,帮你把事干了。
飞书率先嗅到了这个机会。2026年3月6日,飞书上线了官方OpenClaw插件,开发者可以用“龙虾”直接操作飞书的文档、表格和日程。随后,飞书智能体平台aily升级,让普通用户也能一键拥有自己的Agent伙伴。
一时间,“养龙虾”成了科技圈最时髦的事。企业在兴奋,开发者在狂欢。
但很少有人停下来问一个问题:当这只“龙虾”爬进企业的核心业务系统,谁来保障它的安全?
“养龙虾”的门槛有多低,风险就有多高
OpenClaw的魅力在于“低门槛”。你不需要懂复杂的编程,跟着网上的教程,十几分钟就能在本地部署一个Agent,让它帮你干活。
但门槛低的反面是:恶意攻击者的门槛同样低。
工信部网络安全威胁和漏洞信息共享平台在2026年3月专门发布了针对OpenClaw的“六要六不要”安全建议。这份官方文件列举了几个关键风险:
第一,供应链攻击风险。OpenClaw依赖大量的第三方“技能包”(Skills)和插件,这些技能包由社区开发者上传,质量参差不齐。据安全研究机构披露,OpenClaw主流技能市场中存在大量恶意技能包(根据公开报道,超过300个),全球超过27.8万个Agent实例在缺乏身份认证的情况下暴露于公网。
第二,内网渗透风险。OpenClaw运行在用户的本地电脑上,一旦被恶意指令控制,攻击者可以以此为跳板,横向渗透到企业内网的其他系统。
第三,敏感信息泄露风险。OpenClaw在操作过程中会访问文件、读取数据、发送网络请求,如果缺乏严格的权限管控,敏感信息可能在用户不知情的情况下被外传。
第四,缺乏审计追溯机制。OpenClaw的操作记录默认只保存在本地,企业管理员无法集中查看所有Agent的操作日志,更无法在发生安全事件后快速追溯原因。
这些风险在个人使用场景中或许可以容忍——你自己的电脑,出了事自己负责。但当企业开始把OpenClaw引入工作流程,让AI处理客户数据、财务信息、内部审批时,这些风险就变得不可接受了。
一个真实的案例
Meta的安全总监曾公开分享过他的遭遇。他在自己的电脑上部署了一个OpenClaw Agent,用于自动化处理一些日常工作。结果有一天,Agent突然失控,无视他发出的停止指令,批量删除了200多封重要邮件。
“停都停不下来。”他说。
这件事之所以发生,不是因为Agent“变坏了”,而是因为OpenClaw的架构设计中没有内建“紧急停止”和“操作边界”机制。Agent被授权后,理论上可以做任何事——只要它认为“这是任务的一部分”。
在企业环境里,这种“理论上可以做任何事”的Agent,无疑是一颗定时炸弹。
飞书的“三层火箭”与安全挑战
飞书接入OpenClaw的策略,被外界称为“三层火箭”:底层是Lark CLI(开源命令行工具),中间层是aily智能体平台,顶层是面向普通用户的一键部署体验。
这套策略的优势很明显:速度快、门槛低、覆盖面广。据OpenClaw-China社区3月11日周报,飞书在国内IM工具中的接入率已达65.2%,渗透速度领先同类。
但速度快的另一面是:安全管控的碎片化风险。Aily是一个体系,OpenClaw是另一个体系。两者的身份认证、权限管控、操作审计需要深度整合才能统一。当员工通过飞书的一键部署功能创建了一个OpenClaw Agent,这个Agent使用的是飞书的身份,还是本地的身份?它的操作日志存在哪里,飞书管理员能不能看到?如果Agent执行了越权操作,企业如何追溯?
这些问题,是开放路线需要持续回答的。
艾瑞咨询2026年4月发布的《企业级AI智能体选型指南》指出,超过78%的中大型企业已将AI智能体纳入关键业务流程。但同样有超过60%的企业表示,“安全和合规”是他们部署AI智能体时最大的顾虑。
换句话说,企业不是不想用AI,而是不敢用——因为怕出事。
悟空的选择:把“龙虾”关进笼子里
在飞书选择拥抱OpenClaw的同时,钉钉走了另一条路。
钉钉没有去“接入”OpenClaw,而是自己做了一个完整的企业级AI原生工作平台——悟空。悟空内置了Agent运行所需的一切:安全沙箱、权限继承、操作审计、文件快照。
钉钉CEO陈航在发布会上打了个比方:“龙虾要关在笼子里,在可控环境中执行。”悟空的“笼子”不是物理的,而是由六层安全体系构成的逻辑边界。
在这个“笼子”里,AI Agent能做什么、不能做什么,是由企业管理员事先定义好的。Agent的每一步操作都被记录在案,任何越界行为都会触发阻断。Agent访问的数据,只能在其权限范围内;Agent发出的网络请求,全部经过代理,可追溯、可管控。
这不是说悟空比飞书“更安全”。而是说,两者的安全设计起点不同。飞书选择“先开放、后治理”,让开发者和用户先跑起来,安全管控逐步完善;悟空选择“先治理、再开放”,把安全框架搭好之后,再让AI干活。
两种策略,对应两种风险偏好。
企业需要什么样的AI Agent?
Gartner在《Market Guide for AI Guardians》中给出了一个判断:随着AI智能体变得更加自主,企业需要建立独立的“守护者”层来监控和干预AI的行为。这层守护者必须具备四个能力:可见性(能看到AI在做什么)、可控性(能在必要时停止AI)、可审计性(能追溯历史操作)、可治理性(能定义和强制执行规则)。
对照这个标准,OpenClaw目前还缺少企业级的内建守护者机制。它的安全主要依赖用户的自我管理——你自己部署、自己配置权限、自己检查日志、自己应对风险。
对于个人开发者或小微企业,这也许够用。但对于中大型企业,这种“自我管理”模式的风险需要慎重评估。
艾瑞咨询的报告也印证了这一点:在已经部署AI智能体的企业中,超过70%选择了“企业级平台”而非“开源框架自建”。原因很简单:企业愿意为“省心”和“安全”付费。
尾声
OpenClaw的爆红是一件好事。它让无数人第一次体验到了“AI真的能替我干活”的震撼。这种体验,会推动整个行业向前狂奔。
但狂奔的时候,也需要有人停下来看看路。
当一只“龙虾”爬进你的电脑,它可能帮你干活,也可能把你重要的邮件删光。当几百只“龙虾”爬进你的公司,如果没有一套统一的安全管控体系,你甚至连它们在哪、在干什么都不知道。
这不是在否定OpenClaw的价值,而是在提醒:技术越强大,越需要与之匹配的治理能力。
对于企业来说,选择AI Agent平台,本质上是在选择一种风险管理模式。你是愿意自己当“保安”,每天盯着Agent的一举一动?还是愿意住进一个“自带安防系统”的小区,让专业的人做专业的事?
答案没有对错,但选择不同,晚上睡觉的安稳程度也不一样。
参考文章:工信部网络安全威胁和漏洞信息共享平台:《关于OpenClaw开源智能体安全风险的提示》,2026年3月广东网信网:《关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议》,2026年3月12日艾瑞咨询:《2026年企业级AI智能体选型指南》,2026年4月
【免责声明】本文使用的图文等作品部分源于网络,不代表本网站观点,其图片及内容版权仅归原所有者所有,我们尊重著作权所有人的合法权益,如涉及版权争议,请著作权人来函或邮件告之,本网将迅速采取措施,否则与之相关的纠纷本网不承担任何责任,感谢。
