问题——从“聊天助手”到“行动执行者”——安全警觉随之抬升。近期——开源智能体OpenClaw引发关注。它的能力不再局限于文本交互,而是授权范围内可自主调用API、读写本地文件、执行系统指令,并接入多类线上服务。报道指出,这类工具一旦进入办公与生产流程,相当于在系统内部新增一个能够“决策并执行”的入口。随着热度上升,关于漏洞与滥用的讨论也迅速增多:当智能体开始替人“动手”,仅依赖传统终端防护、权限控制和人工复核,难以覆盖其运行时复杂的行为链条。 原因——能力扩展叠加生态开放,使风险从“内容错误”转向“行为错误”。受访专家认为,过去对大模型的担忧多集中在回答偏差、事实错误等“说错话”;而智能体的关键变化是具备行动能力,风险随之演化为“做错事”。一上,智能体通过插件、技能(Skills)等机制持续扩展能力,形成更开放的组件生态;另一方面,为完成任务,智能体往往需要更高权限,可能接触认证令牌、邮件、文档、社交账号等关键资产。生态开放与高权限运行并存的情况下,任何薄弱环节都可能被放大为系统性风险。 影响——四类典型风险浮出水面,挑战覆盖技术、管理与使用习惯。安全研究人员梳理的风险主要集中在以下上: 其一,身份与隔离边界不足带来的失控风险。业内披露的对应的漏洞显示,攻击者可能通过诱导点击等方式窃取认证信息,进而扩大权限边界,使一次看似普通的交互演变为对系统与数据的深度控制。智能体若缺乏严格的权限分层与隔离机制,容易出现“拿着万能钥匙办事”的情况。 其二,技能与组件的供应链风险。开放社区的技能分发机制降低了使用门槛,也给恶意代码伪装留下空间。一旦恶意技能通过“热门推荐”等渠道传播,可能在用户不易察觉的情况下触发后门、数据外泄或异常执行,形成典型的供应链投毒路径。 其三,更隐蔽的间接提示词注入风险。与传统攻击不同,这类风险可能潜藏在网页、邮件、文档等日常内容中。对普通用户而言文本看似正常,但对智能体而言其中可能夹带“隐藏指令”,诱导其偏离既定目标,甚至执行危险操作。难点在于可见性和可判定性不足,用户难以凭直觉识别。 其四,智能体自身不稳定性与误操作风险。风险并非都来自外部攻击,智能体在复杂任务中也可能出现误判、越权或无视终止指令等行为。一旦接入邮箱、网盘等高价值系统,误删、误发、误共享等操作将直接造成数据损失与合规风险。 对策——将防护从“外围拦截”前移到“关键动作校验”,构建可感知、可追溯的运行时边界。报道中,安全企业相关负责人提出,应围绕智能体“关键操作”建立更细粒度的安全校验与审计机制,在尽量不影响使用体验与效率的前提下,为高风险动作增加确认、拦截与追踪能力。总体思路是:以资产识别和集中管理为基础,明确本机或企业环境中运行的智能体及其权限范围;以行为监测与风险识别为核心,对访问敏感文件、调用高危指令、对外发送信息等动作设置动态策略;以审计留痕为支撑,实现可追溯、可复盘,便于事后责任界定与策略迭代。专家认为,智能体安全不能只靠单点工具,更需要“技术防护+制度流程+最小权限”的组合:包括限制默认权限、对外连接白名单化、对技能来源进行签名校验与可信评估、为敏感操作设置多因素确认,以及建立可快速回滚的应急机制。 前景——智能体将加速进入生产环节,安全治理需同步完善标准与生态规则。业内判断,智能体技术仍在快速演进,未来将更深融入客服、办公协同、研发运维等场景,在带来效率提升的同时,也会把网络安全从“系统边界防护”推向“任务链条治理”。在此过程中,安全评测体系、技能生态的准入与追责规则、关键行业的合规要求以及用户侧的安全教育,将共同决定智能体能否从“可用”走向“可靠”。受访人士建议,鼓励创新与守住安全底线并不冲突,应在发展中把安全能力体系化、工程化,将安全治理嵌入产品设计、开发分发、部署运行的全生命周期。
智能体让数字化应用从“建议”走向“执行”——带来的不仅是效率提升——也伴随明显的风险迁移。把安全能力前置到每一次关键操作,把责任链条落实到每一次工具调用,才能让创新更稳妥地服务于生产生活。对行业而言,越早在规则、技术与流程上补齐短板,就越能为智能体的健康发展打开更大空间。