我们应当企业运营的视角,自主智能体AI带来的是重构工作组织与执行方式的机遇。
落到实际层面意味着什么?
智能体就会持续、自主地读取你的邮件、
拥有权限查询内部系统、
能够编写并运行代码、发起API调用,还能对接外部服务...
更关键的是,要创造真正价值,它必须依托你的身份、权限和访问路径开展操作 ------ 至少是你工作身份中对应的部分权限。
这就是自主智能体AI落地的核心特征之一:它必须拥有授权,无论是继承而来还是另行赋予。
新型的AI智能体风险
如今的风险早已不只是模型精度不足或产生幻觉。当智能体执行操作时,它代表着你,在企业内部系统中行动,而这些系统原本就不是为自主行为设计的。不妨想想你的客户:当他们开始用智能体对接你那些按人类处理速度和逻辑设计的服务时,现有服务体系也必须针对智能体的特性重新改造。
你的小龙虾,可以算是AI智能体从理论走向大规模落地的典型案例:能跨系统,能自主读取、写入、执行和任务编排,能持续运行而非被动交互。这些能力对任何企业都极具吸引力。需要强调的是,这并非半被动式的辅助工具,而是下一代技术形态。
这符合技术发展的常见规律:降低复杂度,扩大普及范围,生态自然随之壮大。但这次不同,普及的并非被动软件,而是拥有授权、可接入敏感系统的自主执行程序。
不保熟的小龙虾,是"能用"还是"可用"
OpenClaw的安全问题并非零散漏洞,这一领域涌现出大量新型安全风险,其中几类尤为值得关注。技术"能用"和技术"可用"有着本质区别。它必须达到真实用户所期望的信任标准、责任机制与数据安全水平,对受监管的企业而言更是如此。这些安全问题,本质上是系统在设计之初未融入安全考量而产生的结构性缺陷。
第一类安全风险:行为不可见
智能体执行操作时,使用的是真实凭证和合规接口。访问敏感数据时,请求会被判定为合法;向外传输数据时,连接会被授权;执行指令时,也在其权限范围内运作。
在智能体控制层面,正常行为与恶意行为没有清晰界限,这使得传统安全管控基本失效。终端检测工具查杀恶意软件,数据防泄漏工具识别已知特征,身份系统验证登录凭证,这些工具从设计上就无法检测合法自主行为的滥用。
第二类安全风险:提示层被入侵
小龙虾自主读取的内容,遇到内容中嵌入恶意指令或误识别为指令,智能体会将其当作任务的一部分执行,这就是间接提示注入攻击。
与传统的利用软件漏洞或零日漏洞不同,攻击者无需直接攻击 OpenClaw,只需污染其运行环境即可。对智能体的最低安全威胁评估标准应当是:"这个智能体最坏能做什么?这样的后果能否接受?"
第三类安全问题:供应链暴露
OpenClaw通过社区技能库扩展功能,这些技能在增强能力的同时,也将未经验证的代码带入执行环境。现已发现恶意技能包存在窃取凭证、访问敏感文件、执行指令等行为。原因很简单:智能体将这些技能视为正常功能调用,恶意行为与正常操作毫无区别。
最后:直接漏洞与配置不当
各类直接漏洞和配置风险层出不穷,远程代码执行缺陷、认证薄弱的公开实例、大规模凭证泄露等问题均已被证实存在。
截至目前,OpenClaw的普及速度远超当年Linux等技术的推广速度。事实表明,在信任边界内合法运行的系统,完全可能被恶意利用,且不会触发传统安全告警。
安全管控平面
对任何企业而言,没有安全管控,这一切都无从谈起。成功落地自主智能体AI的企业,并非采用最先进模型的企业,而是具备完整自主智能体管控能力的企业。
市场已开始做出响应,例如英伟达推出的NemoClaw等方案,在小龙虾里增加专门的OpenShell的控制层,位于AI智能体运行环境之下,在操作执行层面实施策略管控。这标志着行业转向在执行层内置安全能力。智能体平台正从应用程序转变为自带策略执行与隔离机制的受控环境。需要提醒的是,NemoClaw 目前仅为内测版本,后续仍有大量优化空间,企业应用互操作性、MCP安全短板等问题依然存在。值得肯定的是,安全缺口正在缩小,且厂商将安全作为赋能手段的初衷十分积极。
针对小龙虾的执行建议
限制智能体的访问范围和影响范围,最小化全域权限,不因其自主决策而放宽管控。默认遵循最小权限原则,融入零信任架构(如已部署)。收紧API权限范围,默认只读,写入操作需明确授权。实施严格的资源管控,缩小自主执行范围,在预设阈值内小幅调整。
若智能体出现异常行为,其影响范围由你设定的边界决定,而非被遗漏限制的权限。所有生产环境智能体都需明确责任归属:例如智能体使用的身份、该身份对应的权限、凭证配置人及有效期。限制智能体的获取与记忆内容,所有来自信任边界外的数据,均默认为不可信,需经专项验证后方可使用。
作者:Richard Beck, Director of Cyber, QA