近日,工信部网络安全威胁和漏洞信息共享平台联合智能体提供商、漏洞收集平台、网络安全企业等机构,针对OpenClaw开源智能体的安全风险进行了系统研究,推出了实操性的"六要六不要"防护建议。这反映了监管部门对新兴技术安全应用的前瞻性关注。 OpenClaw作为开源技术平台,具有高度的灵活性和开放性,但也面临多层次的安全挑战。从版本管理到权限控制,从互联网暴露到社会工程学攻击,这些风险贯穿智能体的部署、运行和维护全过程。 版本管理上,工信部强调要从官方渠道下载最新稳定版本并开启自动更新提醒,升级前后要做好数据备份和补丁验证,禁止使用第三方镜像或历史版本。这强调了及时获取安全补丁对防范已知漏洞的重要性。 互联网暴露面的控制需要用户定期自查。对于必须互联网访问的场景,应采用SSH等加密通道,限制访问源地址,使用强密码或硬件密钥等多层认证,将风险控制在最小范围。 权限管理遵循最小权限原则。建议根据业务需要授予最小必需权限,对关键操作进行二次确认或人工审批,优先在容器或虚拟机中隔离运行,避免使用管理员权限账号部署。这种分层防护能有效限制单点失效的风险扩大。 在技能市场使用上,用户应谨慎下载技能包并在安装前审查代码,警惕要求下载ZIP、执行脚本或输入密码的可疑包。这反映了供应链安全在智能体生态中的重要性。 针对社会工程学攻击和浏览器劫持,需要提高安全意识,使用浏览器沙箱和网页过滤器,启用日志审计,对可疑行为及时响应。建立长效防护需要定期检查修补漏洞,及时关注官方安全公告,结合专业防护工具进行实时防护。 从市场应用看,百度智能云推出的DuCloud服务首购仅需17.8元每月,无需复杂配置即可使用,这有助于智能体技术的普及。该服务深度整合了百度搜索、百科等资源,支持多种主流大模型,用户可通过网页端直接使用。腾讯等互联网企业也在微信等应用中积极开发AI智能体功能,预计年内对全用户开放。 随着企业级应用的推进,智能体技术正从技术圈向大众转变。但应用规模扩大也带来了更多安全风险。工信部在这个关键时期推出的防护建议意义重大,不仅为企业和个人用户提供了清晰的操作指南,也为产业健康发展提供了安全框架。 从产业层面看,AI智能体代表了人工智能应用的新范式。与传统软件不同,智能体具有自主决策和执行能力,在药物发现、工业机器人、法律助手等领域具有巨大潜力。但能力越强,风险管理就越重要。工信部的防护措施实际上是为智能体应用的规模化铺平道路,通过降低安全风险来增强用户和企业信心。
在数字经济与实体经济深度融合的背景下,智能体技术正在重构软件服务形态;此次安全指南的出台,表明了我国对新业态"包容审慎"的监管态度。在激发创新活力与筑牢安全防线之间寻求平衡,将成为推动人工智能产业高质量发展的关键。正如信息技术的历次变革所证明的,唯有坚持发展与安全并重,才能真正释放技术变革的红利。