野生龍蝦和國(guó)產(chǎn)龍蝦，不是一個(gè)東西

賽格特約作者 蘇問(wèn)渠

一個(gè)有意思的矛盾正在上演。

一邊，是騰訊、阿里、字節(jié)、小米等大廠爭(zhēng)先恐后地?fù)肀penClaw，把它集成進(jìn)自家產(chǎn)品線，恨不得每個(gè)App都長(zhǎng)出一只智能體觸角。另一邊，是工信部和網(wǎng)信辦接連發(fā)出風(fēng)險(xiǎn)提示，措辭審慎，幾乎是在對(duì)著整個(gè)行業(yè)說(shuō)：別跑太快，小心摔跤。

工信部旗下監(jiān)測(cè)平臺(tái)曾于2月5日發(fā)出漏洞提醒

到底該聽(tīng)誰(shuí)的？答案可能沒(méi)有多數(shù)人想的那么二元——因?yàn)檫@兩件事指向的，根本不是同一個(gè)東西。監(jiān)管警惕的，是原生OpenClaw的"裸奔式"部署；大廠們推出的，是經(jīng)過(guò)產(chǎn)品化改造和安全加固后的"穿了鎧甲"的版本。

這中間的差距，不是程度差異，而是質(zhì)的飛躍。

OpenClaw原生態(tài)，到底有多“野”

要理解龍蝦國(guó)產(chǎn)化為什么是一次安全升級(jí)，首先得看清楚原生OpenClaw的問(wèn)題到底出在哪。

OpenClaw本質(zhì)上是一個(gè)開(kāi)源的智能體編排框架，設(shè)計(jì)初衷是靈活、可擴(kuò)展、高自由度。這三個(gè)詞翻譯成安全語(yǔ)言就是：權(quán)限邊界模糊、數(shù)據(jù)流向不可控、攻擊面極大。

具體來(lái)說(shuō)，至少存在四個(gè)結(jié)構(gòu)性漏洞：

第一，插件系統(tǒng)的信任鏈?zhǔn)菙嗔训摹penClaw允許用戶自由安裝第三方插件，而這些插件可以獲取聊天上下文、調(diào)用外部API、甚至讀寫(xiě)本地文件系統(tǒng)。一個(gè)惡意插件，就能把你的對(duì)話記錄、API密鑰、甚至系統(tǒng)文件打包外傳。社區(qū)已經(jīng)出現(xiàn)過(guò)多起"偽裝成翻譯插件實(shí)則竊取token的案例。

第二，提示詞注入防護(hù)幾乎為零。原生框架對(duì)用戶輸入沒(méi)有做系統(tǒng)級(jí)的過(guò)濾和隔離。精心構(gòu)造的提示詞可以“越獄”智能體的角色設(shè)定，誘導(dǎo)它執(zhí)行非預(yù)期操作。在企業(yè)場(chǎng)景下，這意味著一個(gè)外部用戶可能通過(guò)對(duì)話窗口，套出內(nèi)部知識(shí)庫(kù)的敏感信息。

第三，數(shù)據(jù)持久化缺乏加密。對(duì)話歷史、用戶偏好、知識(shí)庫(kù)索引，在默認(rèn)配置下以明文存儲(chǔ)。個(gè)人用戶把龍蝦部署在自己的NAS或云服務(wù)器上，一旦服務(wù)暴露在公網(wǎng)，這些數(shù)據(jù)就是敞開(kāi)的。

第四，沒(méi)有審計(jì)日志和行為監(jiān)控。智能體調(diào)用了什么工具、訪問(wèn)了哪些數(shù)據(jù)、做了什么操作——原生框架不記錄，也不告警。出了問(wèn)題，你甚至不知道從哪查起。

這不是OpenClaw的“缺陷”，不過(guò)是開(kāi)源項(xiàng)目的通病——只提供能力，不提供邊界。

龍蝦國(guó)產(chǎn)化，大廠做了什么？

國(guó)內(nèi)大廠紛紛接手OpenClaw后，做的并不是簡(jiǎn)單的“漢化+換皮”，還在安全架構(gòu)層面進(jìn)行了系統(tǒng)性的重建。

以反應(yīng)最為迅速的騰訊動(dòng)作為例，它一口氣推出了5個(gè)龍蝦產(chǎn)品，覆蓋了從個(gè)人到企業(yè)、從輕量到專業(yè)的完整光譜，其中最引人注目的是QClaw——因?yàn)樗婕拔⑿派鷳B(tài)，相關(guān)的安全問(wèn)題被受矚目。（對(duì)微信正在研發(fā)的智能體，暫且不論）

微信是14億用戶的社交基礎(chǔ)設(shè)施，承載著支付、身份、社交關(guān)系鏈等最核心的隱私數(shù)據(jù)。在這個(gè)生態(tài)里接入智能體，安全標(biāo)準(zhǔn)必須是核武器級(jí)別的。

據(jù)公開(kāi)信息，QClaw采用了沙箱化插件運(yùn)行環(huán)境，所有第三方能力在隔離容器中執(zhí)行，無(wú)法觸及宿主系統(tǒng)；對(duì)話數(shù)據(jù)端到端加密，運(yùn)維人員也無(wú)法查看內(nèi)容；同時(shí)內(nèi)置了多層提示詞注入檢測(cè)，用對(duì)抗模型實(shí)時(shí)掃描用戶輸入中的惡意指令。

騰訊的謹(jǐn)慎不是因?yàn)榧夹g(shù)保守，而是因?yàn)樗敳黄稹?/strong>畢竟微信出一次安全事故，代價(jià)不是品牌受損，而可是系統(tǒng)性的信任崩塌。

騰訊、字節(jié)、阿里、智譜等紛紛推出自己的“國(guó)產(chǎn)版龍蝦”，圖為騰訊推出的 WorkBuddy，帶有濃厚的工程師范兒

阿里的做法側(cè)重模型層安全，在通義千問(wèn)底座上加了內(nèi)容安全過(guò)濾和幻覺(jué)檢測(cè)，從源頭降低智能體“胡說(shuō)八道”或“泄露不該說(shuō)的話”的概率。

小米則聚焦在端側(cè)隔離，利用自研芯片的TEE（可信執(zhí)行環(huán)境），讓部分推理在本地安全區(qū)域完成，敏感數(shù)據(jù)不出設(shè)備。

至于所有的云廠商，不管哪家，都在強(qiáng)調(diào)企業(yè)級(jí)權(quán)限管控。每個(gè)智能體的數(shù)據(jù)訪問(wèn)范圍嚴(yán)格跟隨飛書(shū)的組織架構(gòu)權(quán)限，A部門(mén)的智能體看不到B部門(mén)的文檔，管理員可以精確到字段級(jí)別控制數(shù)據(jù)暴露面。同時(shí)所有智能體操作留痕，保留完整審計(jì)日志。

產(chǎn)品不同，路徑不同，但大家方向一致：把開(kāi)源框架的自由度，收束進(jìn)可控的安全邊界里。

安全是有價(jià)格的，而這恰恰是價(jià)值所在

很多人會(huì)問(wèn)：我自己部署一個(gè)原生OpenClaw不香嗎？免費(fèi)、自由、不受約束。

這當(dāng)然可以，但你需要想清楚一件事：網(wǎng)絡(luò)安全是有價(jià)格的，不為之埋單，就可能意味著一場(chǎng)不可承受之災(zāi)難。

大廠的云端部署本身就提供了物理級(jí)隔離——你的數(shù)據(jù)跑在專有的容器集群里，有DDoS防護(hù)、入侵檢測(cè)、WAF（Web應(yīng)用防火墻）和定期的滲透測(cè)試。這些基礎(chǔ)設(shè)施，一家企業(yè)自建的年成本是六位數(shù)起步。

而個(gè)人用戶呢？很多人是直接在主力機(jī)上跑Docker，日常辦公、私人文件、AI智能體共享同一個(gè)操作系統(tǒng)環(huán)境。一旦智能體被注入惡意指令，攻擊者觸達(dá)的不是一個(gè)聊天窗口，而是你的整臺(tái)電腦。

這就像在自家客廳養(yǎng)了一只龍蝦，和在水族館的專業(yè)缸里養(yǎng)一只龍蝦——生物是同一只，但風(fēng)險(xiǎn)等級(jí)完全不同。

也因此，官方的風(fēng)險(xiǎn)預(yù)警，主要提醒的是盲目跟進(jìn)的技術(shù)小白，既缺乏安全防護(hù)認(rèn)知，又不愿意為安全支付價(jià)格。

對(duì)普通用戶的幾點(diǎn)提示

龍蝦熱還在持續(xù)，但降溫之前，有兩句話值得記住。

第一，嘗鮮的門(mén)檻確實(shí)不高，幾十塊錢(qián)就能跑起來(lái)。但要真正從中獲得收益，你需要找到一個(gè)具體的、可重復(fù)的、能產(chǎn)生價(jià)值的使用場(chǎng)景。沒(méi)有場(chǎng)景的智能體，就是一個(gè)昂貴的聊天玩具。

第二，安全方面，如果你選擇自行部署，請(qǐng)至少做到以下幾點(diǎn)：

• 不要在主力設(shè)備上裸跑，用獨(dú)立的虛擬機(jī)或容器隔離，比如 Mac mini；

• 最小權(quán)限原則，智能體只授予完成任務(wù)所必需的權(quán)限，不要圖省事全部打開(kāi)；

• 不要向智能體喂入未脫敏的敏感數(shù)據(jù)，包括身份信息、密碼、財(cái)務(wù)數(shù)據(jù)；

• 定期審查插件來(lái)源，只使用經(jīng)過(guò)社區(qū)驗(yàn)證的插件，拒絕來(lái)路不明的第三方擴(kuò)展；

• 保持更新，安全補(bǔ)丁發(fā)布后第一時(shí)間升級(jí)，不要停留在"能用就行"的舊版本上。

如果說(shuō)由海外開(kāi)源社區(qū)開(kāi)發(fā)的OpenClaw 是野生龍蝦，那么國(guó)內(nèi)大廠就是對(duì)龍蝦進(jìn)行了馴化和豢養(yǎng)，但不管野生的還是養(yǎng)殖的，工具終歸是工具，是個(gè)錘子，就有可能砸到自己的手。最終能否創(chuàng)造出價(jià)值，取決于用戶能否善用它。