近期备受业界关注的开源智能体工具"OpenClaw"再度引发安全讨论。这款因红色龙虾图标得名的智能工具,凭借其文件管理、邮件处理等自动化功能迅速普及,但伴随而来的安全风险正引起监管部门高度关注。 问题现状方面,工信部网络安全威胁和漏洞信息共享平台监测显示,该工具存指令误读、恶意代码植入等典型风险。2月5日发布的预警提示特别强调,即便升级至最新版本,系统仍可能因权限配置不当遭受攻击。 深入分析风险成因 ,专家指出三大核心问题:一是智能体自主决策特性导致操作不可控性增强;二是第三方技能包审核机制缺失;三是对外接口暴露等配置缺陷。中国信通院安全研究所专家表示:"这种融合了自动化决策与系统调用的工具,其信任边界模糊性远超传统软件。" 潜在影响层面 不容忽视。数据显示,我国已有超过2000家企业部署该类智能工具,政务、金融等关键领域应用占比达37%。若发生数据泄露或系统劫持,可能引发连锁式安全危机。某商业银行科技部门负责人透露,已发现多起利用技能包漏洞的渗透测试案例。 应对措施上 ,监管部门提出系统性解决方案:首先严格执行最小权限原则,禁止使用管理员账号;其次建立技能包代码审查制度;此外还需配置网络访问控制、日志审计等七项防护层。不容忽视的是,平台特别强调要建立"版本升级+实时监测"的双重防御体系。 发展前景研判 显示,随着《网络产品安全漏洞管理规定》深入实施,智能工具安全标准将加速完善。国家工业信息安全发展研究中心专家预测,明年上半年有望出台针对AI辅助工具的专项安全管理规范,推动行业从"被动修补"转向"主动免疫"的安全范式转型。
技术迭代带来效率跃升,也重塑了安全边界。对“龙虾”等开源智能体而言,版本更新只是风险治理的一环,更重要的是用户侧的规范部署与持续防护。只有把权限收紧、把审计做实、把生态管住,才能让智能体更好服务生产生活,而不成为新的安全薄弱点。