问题—— 近期,开源 OpenClaw 热度快速攀升后又迅速降温,折射出智能体应用落地中的一组突出矛盾:一上,“自主执行任务”带来效率提升;另一方面,系统权限、网络暴露和默认配置等环节的安全短板,可能让企业数据、业务系统乃至设备控制权面临风险;国家互联网应急处置对应的机构也就“养虾”风险发出提示指出,高权限与脆弱默认配置叠加的情况下,一旦遭遇攻击,后果可能从数据泄露扩大到系统失控。 原因—— 业内分析认为,风险集中暴露主要来自三上: 其一,为实现自动化调用工具、操作系统操作与代码执行等能力,智能体往往需要更高权限;一旦授权边界不清或权限不可控,容易出现“过度授权”。 其二,开源项目迭代快、部署门槛低,但默认配置未必适配复杂生产环境;若将服务直接暴露公网,或在网关、鉴权、访问控制等环节配置不当,便可能被攻击者利用。 其三,第三方工具与插件生态扩张迅速,若缺少统一的安全审查与来源验证机制,恶意代码与供应链风险会被放大。 多重因素叠加,使智能体在“能用”之外,距离“可控、可审计、可恢复”的工程化要求仍存在差距。 影响—— 安全事件的影响不止是单点故障,更可能引发链式扩散:攻击者若通过默认弱配置或暴露接口获取权限,可能更进入企业内网,造成敏感数据外泄、业务中断,甚至触发错误指令导致设备误操作等。同时,安全风险也会反过来影响产业信心与应用推广——智能体越强调自主执行,社会对其可靠性与合规性的要求越高;一旦发生事故,往往会被放大为行业性警示,进而影响技术落地节奏与企业投入意愿。 对策—— 针对上述风险,火山引擎近日宣布对“龙虾”场景安全方案升级。其思路是将此前的三层纵深防护进一步做成云上 SaaS 解决方案,以全流程机制降低开源方案落地的不确定性,核心措施包括: 一是把好入口关,收紧访问边界。网关默认启用更严格的权限验证策略,确保仅授权用户可访问,减少公网暴露带来的攻击面。 二是强化运行隔离,降低入侵与横向移动风险。智能体运行在独立沙箱环境中,实现环境隔离;高危操作与代码执行也在沙箱内完成,减少对宿主系统与业务环境的直接影响。 三是严控工具来源,防范供应链隐患。对第三方工具或技能组件引入安全扫描与审核流程,以“可信来源+安全检测”提升引入门槛。 四是坚持最小化授权与敏感操作复核。用户可设置高危敏感操作执行前的二次确认,用“人机协同”的方式增加安全闸门,降低误操作与恶意指令带来的损失。 五是增强可恢复能力,提升兜底水平。云端提供操作快照与回滚机制,支持在误操作或异常后快速恢复到历史节点,减少业务损失与处置成本。 另外,业内多家厂商在发布同类“龙虾”产品时也同步加强安全措施,普遍聚焦权限管控、访问限制与默认配置加固,针对 OpenClaw 常见的公网暴露、默认配置脆弱、部署不当等问题,从源头压缩风险空间。关于部署形态的选择,业内普遍认为云上部署具备弹性与统一运维优势,但需重点防范云端信息泄露;本地化部署在数据可控上更有优势,但往往缺少资源调度与风险兜底能力。总体来看,建立“可验证的安全能力”正在成为厂商竞争的关键指标之一。 前景—— 从产业趋势看,智能体应用正从“功能演示”走向“生产级交付”,安全能力将与模型能力、工程能力一起成为基础门槛。多位从业者判断,“云端一体”将成为重要方向:在终端接入、本地硬件协同、云端统一策略与审计之间形成闭环,既满足低时延与设备控制需求,也通过统一身份、权限与隔离体系实现可治理、可审计、可追溯。面向下一阶段,业内建议加快三项建设:推动统一安全标准与审核机制落地;重构权限体系与默认配置策略,降低“开箱即暴露”的概率;为企业建立专属隔离环境与分级授权体系,形成可复制、可扩展的工程化安全底座。
智能体越“能干”,越需要被约束在清晰的边界之内。围绕开源“龙虾”框架的安全讨论,本质上是产业从“能力竞速”走向“可信交付”必须补上的一课。若以最小权限、强鉴权、强隔离、可审计、可回滚为核心的安全底座能加速落地,智能体才能从短期热点走向长期应用,从试验走向生产,在可控前提下释放更大的生产力。