问题——智能体从“能用”走向“广用”,安全短板更快暴露。近来,面向生产、办公与行业场景的智能体应用迅速增多,技能插件、第三方组件与外部接口被大量引入。在效率提升的同时,提示词注入、越权调用、数据泄露等风险被同步放大。一旦智能体在执行环节被诱导或遭篡改,可能触发敏感操作、泄露密钥与业务数据,甚至引发供应链式连锁影响,成为数字化系统新的薄弱点。 原因——外部可扩展代码叠加复杂交互,使“可用性”先跑在“安全性”前。北航复杂关键软件环境全国重点实验室智能安全创新团队在报告中指出,智能体安全事件中,相当一部分与权限控制缺失、输入验证不足有关。其背后主要有四点原因:一是技能生态依赖外部插件与脚本,来源多样、质量参差,传统审查难以覆盖语义层面的恶意行为;二是交互链路变长,用户输入、工具返回与模型输出层层叠加,攻击者可通过构造输入诱导错误决策;三是运行时权限边界不清,智能体常具备文件、网络、命令等能力,若缺少最小权限约束,风险会从“信息污染”升级为“可执行破坏”;四是密钥、令牌等敏感资产在运行内存与日志链路中容易被误暴露,增加被窃取的概率。 影响——风险从单点漏洞走向系统性问题,治理需要从“补漏洞”转为“建体系”。报告首次构建六大风险维度体系,覆盖指令与模型安全、交互输入安全、执行权限安全等关键领域,并提示提示词注入、路径遍历、沙箱逃逸等多类高危风险。其中,模型幻觉导致的意外输出、第三方组件漏洞被利用,正在成为现实场景中的主要入口。智能体的安全已不止是传统软件漏洞问题,还涉及对“意图”和“能力”的滥用:攻击可能以“合法任务”的形式出现,最终落到越权访问、敏感数据外流或对外部系统的非预期调用,给企业合规、数据安全与业务连续性带来压力。 对策——用“静态审查+运行监管+数据保护”形成闭环,并以制度化原则约束能力边界。北航团队同步发布OpenClaw安全防御方案,提出三项关键能力:其一,静态应用安全测试审查器在技能加载前拦截风险,通过分析代码与依赖识别潜在问题,降低“带风险上线”的概率;其二,主动安全内核以透明监管为思路,对运行过程中的敏感操作实时接管与控制,避免越权指令在执行阶段落地;其三,数据防泄漏引擎监测内存状态等关键环节,加强对API密钥等敏感信息的保护,减少因日志、缓存或异常链路引发的泄露。 在方法论层面,团队提出四项防御原则:对外部代码坚持零信任,并施加不可绕过的约束,减少规则被规避的空间;通过语义意图匹配,将安全判断从“看代码”扩展到“看行为”,识别“表面合规、实则越界”的操作;以能力令牌落实最小权限,按需动态分配并支持回收;优先保障数据主权,通过资产隔离等手段加固本地边界。围绕报告识别的风险点,研究建议实施分级防护:模型安全侧建立恶意文本特征库并对输出脱敏;交互安全侧设置访问频率阈值并引入人工复核;执行控制侧实行白名单管理与二次确认;数据保护侧推动加密传输与最小权限访问;供应链安全侧建立依赖溯源与插件签名验证,降低“从依赖处被攻破”的概率。 同时,团队开源ClawGuard Auditor工具,为开发者提供可执行的自查与修复手段。该工具强调三点:既覆盖智能体特有风险,也兼顾传统安全漏洞;围绕加载、交互、执行三个阶段联动监控,减少单点检测盲区;采用即插即用设计,降低部署门槛,便于在开发与测试流程中常态化使用。 前景——智能体安全将走向“标准化、工程化、生态化”,重点在于共建规则与提升开发者安全能力。随着智能体在政务、金融、工业等关键领域加速应用,安全要求将从企业内部规范逐步走向行业共识,并形成可验证的工程体系。围绕权限边界、插件治理、数据隔离与审计追踪等能力建设,或将成为智能体平台的重要竞争指标。开源工具与风险报告的持续迭代,也有助于沉淀可复用的安全基线,推动治理从“事后响应”转向“事前预防、事中控制、事后可追溯”的全链条闭环。
数字化转型提速的背景下,安全已成为智能技术落地的关键前提。北航团队此次发布的风险体系与防御方案,为智能体安全提供了更清晰的工程路径。随着对应的能力的完善与应用推广,有望为构建安全可信的数字生态提供支撑,并为全球智能技术治理提供可参考的实践经验。