人手一個"龍蝦"的時代，誰來管住失控的AI？

OpenClaw（又稱"龍蝦"）在技術(shù)社區(qū)快速走紅后，隨之而來的安全焦慮正在全面蔓延。作為一款開源AI智能體（AI Agent）框架，OpenClaw的核心目標是讓用戶擁有一個可以執(zhí)行任務的私人AI助手——

它的圖標是紅色龍蝦，但它的"鉗子"已經(jīng)伸向了系統(tǒng)級權(quán)限、企業(yè)數(shù)據(jù)和供應鏈環(huán)節(jié)。

過去一年里，OpenClaw在技術(shù)社區(qū)快速走紅，成為最熱門的開源AI智能體框架之一。但安全討論的熱度幾乎同步攀升。

風險的根源在于，AI Agent不再是被動回答問題的"聊天機器人"，而是能自主調(diào)用工具、訪問資源、執(zhí)行復雜任務的"數(shù)字員工"。

從事iOA產(chǎn)品運營多年的行業(yè)專家劉登峰直言："本質(zhì)上，這樣的AI Agent是一個不會疲倦、會自動化執(zhí)行的超級用戶，如果它在終端上安裝，被攻破了，就相當于攻擊者完全獲得了這個終端的電腦權(quán)限，由此以來，就可以進行下一步的橫向滲透，擴散到企業(yè)的全部網(wǎng)絡(luò)終端或服務器，同時也具備非常高的數(shù)據(jù)外泄風險。"

AI Agent的出現(xiàn)，不僅帶來了新的攻擊面，更從根本上動搖了傳統(tǒng)安全防護體系的底層邏輯。

說白了，"過去我們盯的是用戶是誰，現(xiàn)在我們可能還要盯AI Agent在替誰行動，它具備什么樣的能力，它執(zhí)行的動作有沒有偏離它的原始意圖。"劉登峰表示。

其次，安全建設(shè)的重心也發(fā)生了根本轉(zhuǎn)移：過去，安全的職責是防入侵，現(xiàn)在除了防入侵以外，還要防越權(quán)使用。因為在Agent時代，很多風險不再是過去所認知的“黑進來了”，它是屬于本來就允許它在內(nèi)網(wǎng)用這個Agent，本來就有授權(quán)，但是它授權(quán)過多，導致它的邊界不清楚或者失控。

防護對象從設(shè)備轉(zhuǎn)向了數(shù)據(jù)。過去是保設(shè)備，現(xiàn)在是重點保數(shù)據(jù)。即使一個設(shè)備本身沒有被攻擊者直接明顯的攻破，但是數(shù)據(jù)是有可能在正常的業(yè)務流程中被帶出去的。

這種轉(zhuǎn)變在個人端同樣顯著。PC端的權(quán)限天然比移動端開放得多。Windows先天設(shè)計就會有一些機制允許通過底層上的技術(shù)，比如通過寫一段代碼就能夠調(diào)用系統(tǒng)上的某個文檔或者操作一些系統(tǒng)級的能力。

移動端更偏向于輸入，在手機上遙控龍蝦在電腦上干活，在電腦上可能要操作文檔，訪問網(wǎng)絡(luò)和電腦上其他的內(nèi)容，所以有操作，這個風險會更大。

Skill供應鏈：被忽視的新攻擊面

如果說權(quán)限失控是"明面上的風險"，那么Skill插件的供應鏈投毒就是更隱蔽的"暗雷"。

OpenClaw的核心能力拓展依賴Skill插件：要處理PDF就裝PDF轉(zhuǎn)換插件，要查天氣就裝天氣查詢插件，要對接企業(yè)系統(tǒng)就裝對應的業(yè)務插件。但這些插件大部分來自第三方開發(fā)者，安全審核機制尚不完善。

站在用戶角度，因為想更好地使用OpenClaw，需要完整、高效的工具說明，也就是Skill插件。在這個過程中，因為被攻擊者盯上了，它可以把一個惡意文件偽裝正常Skill，比如PDF轉(zhuǎn)換、天氣查詢。對于普通用戶而言，甚至對于企業(yè)級員工而言，很難自行去辨別這里是否有問題。

更棘手的是，這類攻擊繞過了傳統(tǒng)的檢測手段。騰訊云安全副總經(jīng)理、AI Agent 安全中心負責人謝奕智也對筆者指出："Skills的安全性，因為它里面有提示詞、腳本，傳統(tǒng)的基于規(guī)則特征檢測的能力很難應對。不過，目前，各家安全廠商針對Skill的安全檢測是在持續(xù)迭代的?！?/p>

面對AI Agent，企業(yè)的態(tài)度正在快速分化。

劉登峰透露，咨詢客戶覆蓋了金融、能源、運營商、企業(yè)、零售等多個行業(yè)，但需求差異明顯："金融行業(yè)有明確訴求，就是要禁用的。偏互聯(lián)網(wǎng)的中型客戶，他們更想快速溝通企業(yè)級的安全沙箱方案。很多用戶一方面是在聊更精細化的場景怎么管，另外一方面就是聊能不能直接給他上沙箱，上了沙箱之后他可以根據(jù)沙箱跑一段時間、運行一段時間，再判斷對于企業(yè)來說哪些場景是允許用的，哪些場景是不允許用的。"

值得注意的是，安全預算的來源也發(fā)生了結(jié)構(gòu)性變化："目前我們看到更多是業(yè)務部門，因為首先它是業(yè)務發(fā)動出來的需求。用戶對安全的認知是比較成熟的，覺得OpenClaw這個東西天生就是有安全風險，所以我在購買一個企業(yè)版的OpenClaw的時候，我希望把安全也帶上，是基于這樣一個流程，和過去有點不同。"

安全的終局：不是對立，而是無感

很多人擔心，安全防護會犧牲AI Agent的使用體驗。但這本質(zhì)上是一個偽命題：安全本身也可以是一種用戶體驗。安全無處不在，但是你卻感受不到它的存在。在未來伴隨著OpenClaw的發(fā)展，大家應該會慢慢習慣用它來解決這些問題，有些邊界會默認被關(guān)閉。

而AI本身正在成為最好的安全工具。謝奕智透露，針對Skill安全中傳統(tǒng)規(guī)則檢測難以應對的提示詞和腳本風險，"有專門的實驗室同學在做研究，而且相關(guān)的能力已經(jīng)集成到我們的云端安全產(chǎn)品跟C端的安全產(chǎn)品"。"AI治理AI"正在從概念走向落地。

在大家關(guān)心的token消耗問題上，謝奕智的判斷是："token單價肯定是往下走的，因為它未來如果成為像水電一樣的話，有很好的普及，有一定的規(guī)模，價格一定是往下走的。"

這意味著AI Agent的使用成本將持續(xù)降低，普及速度會加快，安全防護的需求也會越來越迫切——一場圍繞AI Agent安全的長跑才剛剛開始。

實用建議：給"養(yǎng)蝦"人士的安全指南

針對企業(yè)業(yè)務使用者

權(quán)限最小化原則：給AI Agent分配權(quán)限時，只開放必要的系統(tǒng)訪問、數(shù)據(jù)讀取和操作權(quán)限。盡量不要涉及寫權(quán)限的工作，如果不需要，就給它只讀的密鑰權(quán)限。

做好網(wǎng)絡(luò)隔離：如果龍蝦有很固定的訪問目標去完成它的工作，網(wǎng)絡(luò)做好隔離，不要讓它有權(quán)限去訪問一些不該訪問的內(nèi)網(wǎng)服務。

先測試再上線：新部署的Agent先在隔離測試環(huán)境運行驗證，確認所有操作行為符合預期，再逐步接入生產(chǎn)環(huán)境。

建立全流程審計機制：對Agent的所有操作留痕，包括輸入的Prompt、調(diào)用的插件、執(zhí)行的動作、訪問的數(shù)據(jù)，定期做安全審計，異常行為實時告警。

插件準入審核：不要隨意使用第三方開源Skill插件，所有接入企業(yè)系統(tǒng)的插件必須經(jīng)過安全檢測，建議優(yōu)先使用官方提供或經(jīng)過安全廠商認證的插件。

定期備份核心數(shù)據(jù)：預設(shè)Agent異常操作的攔截機制，一旦出現(xiàn)失控能快速止損，避免造成不可逆損失。

針對AI愛好者和個人用戶

不要開放不必要的權(quán)限：安裝OpenClaw時仔細審查權(quán)限申請，不要直接同意所有請求，尤其是文件讀寫、支付接口、攝像頭麥克風等敏感權(quán)限。

優(yōu)先使用帶安全沙箱的方案：在本地部署時，優(yōu)先使用帶AI安全沙箱的防護工具，把Agent的運行環(huán)境和真實系統(tǒng)隔離開。如果不熟悉OpenClaw的復雜安裝流程，可以考慮開箱即用的方案。

謹慎安裝第三方插件：不要下載不明來源的Skill插件，盡量從官方渠道獲取，安裝前做安全掃描檢測。

不要用Agent處理敏感信息：盡量避免用本地Agent處理身份證、銀行卡、工作機密等敏感信息，防止數(shù)據(jù)泄露。

做好數(shù)據(jù)備份：假設(shè)龍蝦很不靠譜，但是又很想用，怎么辦呢？可以買一臺PC，做好網(wǎng)絡(luò)隔離，做數(shù)據(jù)的定期備份，這樣就可以很靈活的去用龍蝦所有的能力。如果系統(tǒng)壞了，備份能力自動加上，也不擔心數(shù)據(jù)問題。（本文首發(fā)鈦媒體APP，文 | DeepWrite秦報局，作者｜秦聰慧 ）