夜雨聆风近期,开源AI智能体框架OpenClaw引发全球应用热潮,国内众多企业快速跟进、应用热度持续飙升。但该框架具备高阶系统权限,默认安全配置存在短板,对提示注入攻击防护能力不足,易遭受恶意插件投毒等高危风险隐患,导致数据泄露、恶意删除、系统非法控制等安全事件频发,智能体安全防护工作亟待加强。
为切实筑牢智能体安全应用防线,为政府部门、企业及个人用户提供选型依据,中国信息通信研究院启动了OpenClaw类智能体安全防护产品有效性测试验证工作,从沙箱隔离、配置安全、暴露面检测、漏洞检测、权限控制、数据保护、插件安全、接口安全、提示注入攻击防护等维度,对产品的防护场景覆盖度、防护成功率、对业务性能的影响程度等开展技术评估,切实保障OpenClaw类智能体在各行业的安全合规落地与规模化应用。
在本轮评估中,北京天融信网络安全技术有限公司的天融信大模型脆弱性扫描与管理系统顺利通过评估,获得首批能力评估证书。
参评企业和产品介绍
注:以下内容为企业提供。
天融信(002212)创始于1995年,是上市公司中成立最早的网络安全企业,中国第一台商用防火墙的缔造者,至今已连续26年国内防火墙市场占有率第一。在30年的创新发展中,天融信用稳定可靠的产品、方案与优质的服务赢得了十余万政企客户的高度认可。迈入第四个“十年”发展期,天融信锚定“中国领先的网络安全与智算云解决方案提供商”新目标,以“融智跃迁”为发展路径,深度融合AI打造覆盖基础网络、工业互联网、物联网、车联网、可信数据空间等全业务场景的产品、服务及综合解决方案体系,助力客户提升智能化安全防御水平、建设新一代智算基础设施,赋能千行百业数字化、智能化转型升级。面对大模型从训练转向应用,以及OpenClaw应用大规模爆发带来的安全挑战,天融信围绕大模型全生命周期安全构建了完善的解决方案体系,全方位护航AI智能体安全。
天融信大模型脆弱性扫描与管理系统从资产管理、漏洞检测、行为审计三大维度,为OpenClaw及各类智能体构建全生命周期的动态风险评估体系,协助客户完成智能体风险评估和治理。系统具备AI智能体资产测绘能力,精准摸清企业AI资产底数,并将智能体资产纳入统一安全管理,完成智能体输出内容、API、MCP以及skills应用的风险全面检测,同时监控智能体行为,实现事前风险排查、事中行为监测、事后操作审计,有效防范智能体越权操作和数据泄露风险,保障客户数字员工及各类智能体业务安全稳定运行。
评估项目介绍
本次 OpenClaw类智能体安全防护产品有效性测试验证工作,聚焦智能体实际应用中的安全痛点与防护需求,围绕基础环境安全、权限与数据安全、应用安全等维度开展精细化的安全能力评估:
1.基础环境安全维度:包括沙箱隔离、暴露面检测、配置安全、漏洞检测等评估项,验证产品构建安全运行底座的能力,包括沙箱隔离有效性、公网暴露实时检测与处置、配置全生命周期安全管控、智能体本体及框架漏洞挖掘与监测等关键指标。
2.权限与数据安全维度:包括细粒度权限管控、权限审计、敏感数据识别、加密保护、操作审计等评估项,遵循最小权限原则,验证产品在多维度权限隔离、双重身份认证、敏感数据全链路保护、操作行为审计与追溯等方面的技术实现效果。
3.应用安全维度:包括提示注入攻击防护、插件安全检测、接口安全管控等评估项,验证产品对各类提示词攻击的精准识别与实时拦截能力、恶意插件的全流程检测与快速处置能力、智能体外部接口的异常检测与安全防护能力。
评估流程
评估流程主要包括商务确认、评估对接、评估排期、评估执行、专家评审、结果发布宣传等。具体流程如下图所示:
咨询联系人
静 静
15810821574(同微信)jingjing@caict.ac.cn
