中国信息通信研究院联手腾讯云搞了个大动作,发布了“云上养虾安全七条”,专门给行业提供个安全标准。现在OpenClaw这类AI智能体特别火,大家都在云上搞智能化转型,这就叫“养虾”。不过因为开源形态发展太快,到处都在用,安全风险也跟着冒头了。 今年2月,NVDB还特地发了个预警,说OpenClaw的配置有问题容易出事儿。现在最大的风险有四个:提示词注入攻击、权限没管好、供应链有坑、审计跟不上。为了让OpenClaw技术能安全落地产业化,信通院和腾讯云就拿出了这“七条”,把配置、运行、生态、应急这整个流程都给包圆了。 第一条就是版本要合规,得从官方渠道下最新稳定版,别用乱七八糟的第三方镜像。第二条网络得收敛点,不能直接暴露在公网里,要用内网隔离或者VPN这种通道访问。第三条权限要最小化,专门搞个低权限的账户运行,高危操作得二次确认或者人工审批。第四条数据隐私化处理好,敏感信息要加密存起来定期备份。第五条技能要规范化,优先选官方认证的包,外面的包得小心下载别带进恶意代码。第六条接入防控化也很重要,得部署防护产品搞点终端和入口管控。第七条审计闭环化得做好日志上传集中管理和应急处置流程。 腾讯之前推出的“龙虾安全工具箱”也挺厉害的,针对云端、办公网、个人电脑这三个场景提供了一站式防护。他们还把部分能力封装成了AI Skills,只要说话就能让小龙虾自己保护自己。针对开发者和企业,腾讯云Lighthouse、ClawPro还有AI Agent安全中心、网关这些都能用起来形成整体防御。针对办公网环境的企业,腾讯iOA打造了六大自动化防线实现全链路安全闭环。 个人用户用电脑管家就能一键隔离高权限操作了。腾讯还开放了EdgeOne ClawScan技能和HaS Anonymizer工具,前者一句话就能体检出安全报告,后者本地运行能把敏感信息替换掉实现数据“可用不可见”。 最后腾讯说要持续升级产品深化合作,一起推动云上AI生态的繁荣发展。这一系列动作都说明推动技术产业化离不开最底层的安全保障啊。