奇安信政企版龙虾(OpenClaw)安全使用指南
看得清,管得住,用得好 概要 2026 年被视为是 AI 智能体规模化落地之年。以 OpenClaw(龙虾)为代表的智能体平台热度持续暴涨,正从个人效率工具迅速演变为企业级 AI 操作系统。根据奇安信网络空间测绘,截至 2026 年 3 月 13 日,全球暴露在互联网部署实例已超过 23 万。 与大模型应用不同,AI 智能体不再是“辅助决策”,它不仅能够理解问题和生成内容,还能够自主调用工具、访问企业数据并执行具体任务。OpenClaw 的出现,标志着 AI 智能体将成为连接企业数据、业务流程和数字工具的重要中枢,同时也将成为新的攻击目标。 与传统网络攻击相比,针对智能体的攻击速度更快、权限更高、传播更隐蔽。AI 智能体的权限堪比超级系统管理员,一旦被攻击或操控,其潜在破坏能力难以想象。被操控的智能体能在数分钟内完成数据窃取、权限提升甚至业务篡改,传统安全运营模式往往难以及时发现和响应。 作为 AI 智能体最热门代表,OpenClaw 的典型架构由五个核心组件组成:通道、网关、智能体工作空间、AI 接入网关以及大模型服务。 奇安信安全专家认为,从整体视角看,企业在部署 OpenClaw 时需要重点关注九大关键安全风险: 1. Skill 生态安全:AI 插件及工具的供应链风险。2. 工作空间数据安全:智能体工作空间中的企业数据保护。3. 智能体与大模型会话安全:提示词注入与数据泄露风险。4. 即时通讯入口安全:用户输入与文件上传的攻击面。5. 服务器运行环境安全:主机、容器与虚拟化环境安全。6. 终端与服务器协同安全:智能体访问终端数据的风险。7. 网络连接安全:联网能力带来的数据外泄风险。8. 大模型统一接入安全:多模型环境下的合规与审计问题。9. 智能体安全运营:缺乏持续监控导致攻击难以及时发现。 根据奇安信 Xlab 的数据,全球 23 万暴露在互联网的 OpenClaw 资产中,近 9% 存在已知漏洞风险,安全风险不容忽视。 奇安信安全专家建议,企业部署 OpenClaw 平台时,优先采用私有化部署模式,避免在终端设备上运行核心智能体能力,以确保统一安全策略。私有化部署不仅能提升上述九个安全面的防护能力,也便于版本更新、漏洞修复和权限管控。 此外,企业还须建立系统化的安全治理体系,从插件生态、数据空间、智能体行为、终端协同和多模型管理等多个维度构建防护能力。 本指南基于 OpenClaw 的技术架构与企业部署实践,总结了智能体平台的关键安全风险,并提出面向企业安全管理员和 IT 决策者的安全使用指南,为企业实现 OpenClaw 智能体的“看得清、管得住、用得好”提供参考,真正释放 AI智能体带来的生产力红利。 第一章 引言:AI智能体时代的安全新范式 近年来,人工智能技术持续纵深演进,大模型能力不断突破升级,具备自主决策、自主执行、闭环作业能力的 AI 智能体快速兴起,彻底打破了传统 AI 仅能完成信息理解、分析预测的功能边界,逐步成为企业数字化转型的核心载体,也重构了 AI 技术的落地应用形态。 随着大模型在上下文持久记忆、复杂任务拆解、自主行动规划、跨场景协同等核心能力上实现质的飞跃,AI 智能体快速从实验室概念走向真实业务场景,2025 年被全球科技行业广泛认定为 AI 智能体的爆发元年,行业内迎来规模化试点与技术落地的关键窗口期,智能体的自主执行能力在各类场景中得到充分验证。 进入 2026 年,我国从中央到地方密集出台专项政策,全方位培育 AI 智能体产业生态、加速智能体规模化场景应用,政策红利全面释放。2026 年将成为政策驱动下的 AI 智能体规模化落地之年,国内迎来智能体应用全面爆发期:智能体加速从单点试点走向全域规模化部署,从边缘辅助工具升级为企业业务运转的核心组件,深度渗透制造、金融、能源、医疗、政务等关键核心领域,全方位参与业务流程优化、生产效率提升与产业价值创造。 随着 AI 技术的持续迭代,企业级智能体的核心能力实现本质跃升 —— 从单纯的数据信息“理解与分析”,进阶为具备自主决策、自主执行、主动交互的核心能力。新一代智能体不仅能完成海量信息的深度挖掘与分析,更可自主发起业务操作、调用企业核心系统、闭环执行全流程任务,甚至实现跨主体、跨平台的外部服务联动。这一颠覆性转变,在释放巨大业务价值、重构企业运营模式的同时,也从根源上改变了网络安全与数据安全的核心本质:企业安全攻击面呈几何级扩大、威胁响应时效被极致压缩、安全管控逻辑复杂度陡增,传统被动、静态、单点的安全防护体系全面失效,构建适配 AI 智能体生态的全新安全范式,成为企业数字化转型与合规运营的核心刚需。 1.1 AI 智能体时代安全问题发生本质性变化 传统 AI 应用阶段,模型安全的防护边界与风险形态高度集中,核心聚焦训练数据隐私泄露、算法底层漏洞、对抗样本攻击三类场景,这类风险仅局限于数据处理、模型预测的单一环节,风险传播速度慢、影响范围可控,企业依托静态安全审计、网络边界防护、定期漏洞扫描等传统措施,即可实现基础风险管控。 AI 智能体时代,自主执行能力成为核心属性,风险形态彻底颠覆:智能体不再是被动接收指令的分析工具,而是具备主动操作权限的业务执行主体,可直接调用企业内部系统、读写核心数据库、发起跨节点业务指令、联动外部第三方服务,在多智能体协同场景下,还能形成环环相扣的复杂操作链,进一步放大风险传导效应。这种能力扩展直接打破了传统安全边界,攻击者的潜在入口全面扩张,攻击目标不再局限于 AI 模型本身,而是延伸至提示词指令、功能插件(Skill)、智能体协作流程、会话交互数据、终端接入接口等全场景节点,全域风险无处不在。 与此同时,智能体的高速自动化特性,彻底突破了传统安全防护的响应极限。恶意 Skill 插件或被非法操控的智能体,可在数秒至数分钟内完成数据窃取、权限非法提升、核心业务违规操作等全流程攻击,执行速度远超人工监控、事后复盘、常规应急响应的能力上限。全球权威安全机构 Check Point 发布的专项报告明确指出,针对 AI 智能体的攻击具备极强的时效性与精准性,攻击者往往在新功能上线、新智能体部署的第一时间发起攻击,充分利用智能体高速执行、自主决策的特性,极致压缩安全事件发生与扩散的时间窗口,导致传统滞后式防护完全失效。 面对这一本质变革,企业安全防护思路必须完成根本性转型:从单模型点状静态防护,升级为覆盖智能体全生命周期、 全操作链路的动态体系化防护。全新防护框架不仅要延续数据隐私保护、模型安全加固的基础能力,更要覆盖提示词全流程管理、Skill 生命周期管控、智能体与大模型会话监控、终端与服务器协同防护、精细化权限管理、网络访问控制等全维度场景。企业安全策略必须具备实时风险识别、动态权限调整、全链路行为审计、快速应急响应四大核心能力,才能应对智能体时代更复杂、更高速、更隐蔽的安全威胁,牢牢保障业务连续性、核心数据安全和合规可控。 1.2 AI 智能体时代三大新型核心攻击趋势 随着 AI 智能体从“信息理解工具”向“自主决策执行主体”持续演进,企业面临的安全风险跳出传统 AI 模型安全的局限,呈现全域化、链条化、隐蔽化的全新特征,威胁贯穿智能体指令输入、功能执行、协同交互、结果输出全流程。相较于传统 AI 安全,智能体时代的攻击手段更具针对性与破坏性,核心可归纳为三大新型趋势,倒逼安全防护从 “单点被动防御”升级为全链路动态体系化治理。 1.2.1 系统提示词窃取与篡改:高隐蔽性核心数据攻击 提示词是 AI 智能体理解任务逻辑、执行操作指令的核心依据,企业业务型智能体的系统提示词中,通常嵌入 API 密钥、客户核心资料、内部业务流程、系统权限指令等高度敏感信息,相当于智能体的 “核心指令大脑”。攻击者无需突破复杂的系统边界,仅通过正常交互会话即可截获、篡改或伪造提示词,直接操控智能体执行未授权操作、窃取企业核心数据。 这类攻击依托正常业务会话实施,几乎不会留下明显系统异常日志,隐蔽性极强、早期检测难度极大,极易在无声无息中完成大规模数据外泄,给企业造成不可逆的损失。企业必须搭建提示词加密传输与存储、敏感信息脱敏、异常调用行为实时监控的多层防护体系,从源头筑牢提示词安全防线。 1.2.2 内容安全绕过:生成式内容合规失控风险 内容安全绕过是针对生成式 AI 智能体的典型攻击手段,攻击者通过精心构造诱导性输入指令,规避模型内置的安全过滤策略与合规管控规则,诱导智能体输出违规、敏感、有害内容或非法操作指令。这类攻击无需直接修改模型底层算法,仅利用生成式 AI 的逻辑开放性与上下文理解特性即可生效,典型风险包括智能体无意泄露内部核心数据、规避行业合规过滤规则、生成高风险业务操作指令等。 其核心防控难点在于,攻击行为完全嵌套在正常业务交互中,传统静态内容审核无法精准识别。企业必须构建全量会话实时监控、动态内容合规审核、数据防泄露(DLP)联动、工具调用权限刚性约束的全流程机制,确保智能体输出内容全程符合安全与合规要求。 1.2.3 智能体特有间接注入攻击:链条化隐蔽渗透威胁 间接注入攻击是 AI 智能体特有的新型攻击方式,也是多智能体协同场景下的核心高危风险。攻击者依托 Skill 功能插件、跨智能体协作、多步骤业务操作链等场景实施间接渗透,逐步非法获取敏感权限、执行未授权操作,最终实现对整个智能体体系的控制。 这类攻击的核心特征是极强的隐蔽性,恶意 Skill 可在执行表面合规任务的同时,悄悄联动其他智能体或外部接口,逐级提升权限、窃取敏感数据,攻击行为完全隐藏在正常业务流程中,传统静态安全检测、边界防护手段难以提前发现。应对此类风险,企业需实现 Skill 全生命周期追踪、智能体行为基线建模、权限变更动态管控、全链路操作日志审计,确保每一步操作可追溯、可管控、可阻断,彻底切断风险传导链条。 总体来看,这三类新型攻击充分印证了 AI 智能体安全的本质变革,也凸显了企业安全体系升级的迫切性。与传统单模型安全相比,智能体体系安全涉及数据、行为、权限、工具链、协同交互等更多维度,攻击速度与扩散效率远超人工审查与常规防护的承载上限。企业必须摒弃传统被动防护思路,构建动态、全链路、实时可控的智能体专属安全管理体系, 实现全场景、全环节无死角防护,才能在 AI 智能体时代守住安全底线。 1.3 OpenClaw 九大安全面与防护体系 OpenClaw(龙虾)作为当前行业内应用广泛、极具代表性的 AI 智能体典型架构,采用模块化、分层化设计理念,核心由五大组件构成:通道(Channel)、网关(Gateway)、智能体工作空间(Agent Workspace)、AI 接入网关(AIGateway)以及大模型服务。各组件协同联动,支撑智能体完成从指令接收到任务执行的全流程闭环,但每一层功能模块都对应专属安全风险点,单一环节防护缺失,都可能成为整个体系的安全短板。企业必须基于架构全链路拆解风险,构建全链路闭环防护体系,针对性覆盖九大核心安全面。 (1)Skill 生态安全 Skill 是智能体实现特定业务功能的核心插件,来源复杂、质量参差不齐,是智能体体系的核心风险入口:外部市场下载的第三方 Skill 可能暗藏后门或恶意 Prompt;自动生成的 Skill 逻辑严谨性不足,易出现权限过度申请问题;企业内部自研 Skill 存在代码质量不均、安全测试不充分等隐患,极易引发智能体被操控、数据外泄、连锁攻击等风险。 安全策略 ・前置安全检测:上线前开展静态代码审计、全文件漏洞扫描、动态沙箱隔离运行、专业安全评估;・白名单刚性管控:生产环境仅开放审批通过的 Skill 执行权限,版本哈希锁定,防范供应链篡改;・运行时沙箱防护:容器隔离部署、网络访问白名单、只读文件系统、持续哈希校验。 (2)智能体关工作空间数据安全 智能体工作空间(Workspace)是智能体处理业务数据、存储临时任务文件的核心载体,管理不当易引发数据泄露与合规风险:大数据
