近期,OpenClaw开源智能体的安全风险持续受到关注。3月11日晚间,工业和信息化部网络安全威胁和漏洞信息共享平台发布了关于防范OpenClaw安全风险的建议,该建议由平台组织智能体提供商、漏洞收集平台运营单位及网络安全企业共同研究提出。
此前,平台监测发现OpenClaw部分实例在默认或不当配置情况下存在较高安全风险,容易引发网络攻击和信息泄露等问题。3月8日,“工信部已发布高危风险预警”话题曾登上热搜。国家互联网应急中心也在10日发布了关于OpenClaw安全应用的风险提示。
奇安信-U的安全专家汪列军表示,相关安全事件主要归因于OpenClaw加速了AI向“超人化”演进的脚步,具体风险集中在权限失控与“越狱”、Skill供应链、公网暴露与远程入侵、数据隐私泄露等方面。有从业者指出,OpenClaw作为开源AI智能体,其原生形态暴露了系统级权限滥用、供应链攻击、商业模式冲突等高风险。
针对普通用户,汪列军建议遵循“物理隔离”和“最小权限”原则。不要在日常办公电脑或存有重要个人资料的个人电脑上直接安装OpenClaw,而应在虚拟机或闲置电脑上部署,避免数据隐患。选择安全可信的Skills来源下载,并在本地电脑上增强权限控制,严格限制AI只能访问特定的非敏感文件夹。
相比存在安全风险的原生OpenClaw,国内科技厂商的类OpenClaw产品如果进行云化部署、沙箱隔离、权限管控、协议化接口、skills安全升级等措施,将从“危险工具”变成“可靠工具”。这一过程需要通过工程化、合规化和生态化,将前沿但危险的“原型技术”转化为安全、可控、可持续的商业服务。
目前,越来越多国产“龙虾”涌现,包括腾讯、华为、阿里巴巴、字节跳动、百度、小米、猎豹移动等互联网企业以及智谱、Kimi、MiniMax等模型厂商均已推出各自的类OpenClaw工具。多家厂商着重强调确保Agent产品的安全能力,目的是把高风险的海外龙虾装进安全框架,在国产化过程中大幅提升其安全性。
