近期,以“龙虾”为代称的开源智能体OpenClaw在科技领域引发热潮。该工具通过整合通信软件与语言模型技术,可自主完成文件管理、邮件处理等任务,被用户视为高效“数字助手”。然而,其强大的功能背后潜藏严峻安全挑战。 问题凸显:高权限运行成双刃剑 国家互联网应急中心3月10日发布的预警指出,此类智能体需获取系统高级权限以实现功能,包括访问本地文件、调用外部接口等。若默认配置存在漏洞,攻击者可借此完全控制系统,导致数据泄露或业务瘫痪。360集团同日发布的《安全部署指南》更揭示五类典型风险,其中“提示词注入攻击”和“插件供应链漏洞”因隐蔽性强、危害大尤为值得警惕。 原因剖析:技术迭代与监管滞后并存 中国信息通信研究院副院长魏亮分析称,尽管频繁更新可修复已知漏洞,但智能体的自主决策特性与模糊的信任边界加剧了风险。例如,错误解读用户意图可能触发有害操作,而未经审核的第三方插件更易成为恶意代码载体。360集团创始人周鸿祎补充指出,当前智能体技术尚处早期阶段,稳定性不足与交互机制缺陷可能被利用于窃取敏感信息。 应对策略:构建动态防护体系 针对上述风险,专家提出多层防护建议: 1. 环境隔离:在容器或虚拟机中运行智能体,限制权限扩散; 2. 最小权限原则:仅开放必要系统资源访问; 3. 源头管控:优先使用官方版本,规避第三方镜像潜在风险; 4. 持续监测:定期核查网络暴露面,及时响应安全公告。 魏亮特别强调,“打补丁”不能替代系统性防护,需结合主动防御与审计机制形成闭环。 行业前瞻:平衡创新与安全的长期课题 随着智能体应用场景扩展,其安全治理将面临更复杂挑战。业内人士呼吁,需加快建立技能包审核标准与协同监管框架,同时推动用户安全意识普及。未来,技术创新与风险管控的协同发展或成为产业健康增长的关键。
当前,我国AI产业正处于创新发展和规范建设的关键阶段。OpenClaw等智能体的出现代表了AI应用的新方向,也为网络安全工作提出了新课题。安全与发展并不对立,而是相互促进的关系。只有建立科学有效的风险防范机制,形成政府、企业和用户的共同防护合力,才能既发挥AI智能体创新潜力,又有效防范安全威胁。这需要我们在拥抱技术进步的同时保持警觉,将安全防护贯穿产品开发、部署运维和日常使用的全过程,推动AI产业在安全可控基础上实现高质量发展。