3月11日,澎湃新闻记者拿到了360集团刚发的一份文件,名字叫《OpenClaw安全部署与实践指南》,就是给搞政务和做开发的人看的,算是个安全手册。360觉得现在的AI智能体就像个“数字分身”,一旦让坏人把它抓了,危害可就大了,所以部署一开始就得把安全机制给建起来。 他们总结了一大堆问题:比如公网的管理接口没关好,API Key这类身份凭证也容易泄露,底层Shell工具乱调用越权了。还有提示词注入攻击、记忆模块被投毒、第三方插件供应链有风险,甚至多智能体合作时失控了这些情况。 这里头特别需要注意的是提示词注入和插件供应链这两种新招,大家平时往往会忽略它们,其实危害很大。一旦中招,黑客就能骗着智能体去干不该干的事儿,甚至能把它长期抓在手里。