奇安信政企版龙虾（OpenClaw）安全使用指南.pdf

概要
2026年被视为AI智能体规模化落地之年。以OpenClaw(龙虾)为代表的智能体平台热度持续暴涨，正从个人效率工具迅速演变为企业级AI操作系统。根据奇安信网络空间测绘鹰图平台的数据，截至2026年3月13日，全球暴露在互联网的部署实例已超过23万。
与大模型应用不同，AI智能体不再是“辅助决策”,它不仅能够理解问题和生成内容，还能够自主调用工具、访问企业数据并执行具体任务。OpenClaw的出现，标志着AI智能体将成为连接企业数据、业务流程和数字工具的重要中枢，同时也将成为新的攻击目标。
与传统网络攻击相比，针对智能体的攻击速度更快、权限更高、传播更隐蔽。AI智能体的权限堪比超级系统管理员，一旦被攻击或操控，其潜在破坏能力难以想象。被操控的智能体能在数分钟内完成数据窃取、权限提升甚至业务篡改，传统安全运营模式往往难以及时发现与处置。
作为AI智能体最热门代表，OpenClaw的典型架构由五个核心组件组成：通道、网关、智能体工作空间、AI接入网及大模型服务。
奇安信安全专家认为，从整体视角看，企业在部署OpenClaw时，需要重点关注九大核心安全风险。
1.Skill生态安全：AI插件及工具的供应链风险。
2.工作空间数据安全：智能体工作空间中的企业数据保护。
3.智能体与大模型会话安全：提示词注入与数据泄露风险。
4.即时通信入口安全：用户输入与文件上传的攻击面。
5.服务器运行环境安全：主机、容器与虚拟化环境安全。
6.终端与服务器协同安全：智能体访问终端数据的风险。
7.网络连接安全：联网能力带来的数据外泄风险。
8.大模型统一接入安全：多模型环境下的合规与审计问题。
9.智能体安全运营：缺乏持续监控导致攻击难以及时发现。
根据奇安信Xlab的数据，全球23万暴露在互联网的OpenClaw资产中，近9%存在已知漏洞风险，安全风险不容忽视。奇安信安全专家建议，企业部署OpenClaw平台时，优先采用私有化部署模式，避免在终端设备上运行核心智能体能力，以确保统一安全策略。私有化部署不仅能提升上述九个安全面的防护能力，也便于版本更新、漏洞修复和权限管控。
此外，企业还须建立系统化的安全治理体系，从插件生态、数据空间、智能体行为、终端协同和多模型管理等多个维度，构建防护能力。
本指南基于OpenClaw的技术架构与企业部署实践，总结了智能体平台的关键安全风险，并提出面向企业安全管理员和IT决策者的安全使用指南，为企业实现OpenClaw智能体的“看得清、管得住、用得好”提供参考，真正释放Al智能体带来的生产力红利。近年来，人工智能技术持续纵深演进，大模型能力不断突破升级，具备自主决策、自主执行、闭环执行能力的AI智能体快速兴起，彻底突破传统AI仅能完成信息理解、分析预测的功能边界，逐步成为企业数字化转型的核心载体，也重构了AI技术的落地应用形态。
随着大模型在上下文持久记忆、复杂任务拆解、自主行动规划、跨场景协同等核心能力上实现质的飞跃，AI智能体快速从实验室概念走向真实业务场景，2025年被全球科技行业广泛认定为AI智能体的爆发元年，行业内迎来规模化试点与技术落地的关键窗口期，智能体的自主执行能力在各类场景中得到充分验证。
进入2026年，我国从中央到地方密集出台专项政策，全方位培育AI智能体产业生态、加速智能体规模化场景应用，政策红利全面释放。2026年将成为政策驱动下的AI智能体规模化落地之年，国内迎来智能体应用全面爆发期：智能体加速从单点试点走向全域规模化部署，从边缘辅助工具升级为企业业务运转的核心组件，深度渗透制造、金融、能源、医疗、政务等关键核心领域，全方位参与业务流程优化、生产效率提升与产业价值创造。
随着AI技术的持续迭代，企业级智能体的核心能力实现本质跃升—从单纯的数据信息“理解与分析”,进阶为具备自主决策、自主执行、主动交互的核心能力。新一代智能体不仅能完成海量信息的深度挖掘与分析，更可自主发起业务操作、调用企业核心系统、闭环执行全流程任务，甚至实现跨主体、跨平台的外部服务联动。这一颠覆性转变，在释放巨大业务价值、重构企业运营模式的同时，也从根源上改变了网络安全与数据安全的核心本质：企业安全攻击面呈几何级扩大、威胁响应时效被极致压缩、安全管控逻辑复杂度陡增，传统被动、静态、单点的安全防护体系全面失效，构建适配AI智能体生态的全新安全范式，成为企业数字化转型与合规运营的核心刚需。
1.1 AI智能体时代安全问题发生本质性变化
传统Al应用阶段，模型安全的防护边界与风险形态高度集中，核心聚焦训练数据隐私泄露、算法底层漏洞、对抗样本攻击三类场景，这类风险仅局限于数据处理、模型预测的单一环节，风险传播速度慢、影响范围可控，企业依托静态安全审计、网络边界防护、定期漏洞扫描等传统措施，即可实现基础风险管控。
AI智能体时代，自主执行能力成为核心属性，风险形态彻底颠覆：智能体不再是被动接收指令的分析工具，而是具备主动操作权限的业务执行主体，可直接调用企业内部系统、读/写核心数据库、发起跨节点业务指令、联动外部第三方服务，在多智能体协同场景下，还能形成环环相扣的复杂操作链，进一步放大风险传导效应。这种能力扩展直接打破了传统安全边界，攻击者的潜在入口全面扩张，攻击目标不再局限于AI模型本身，而延伸至提示词指令、功能插件(Skill)、智能体协作流程、会话交互数据、终端接入接口等全场景节点，全域风险无处不在。
与此同时，智能体的高速自动化特性，彻底突破了传统安全防护的响应极限。恶意Skill或被非法操控的智能体，可在数秒至数分钟内完成数据窃取、权限非法提升、核心业务违规操作等全流程攻击，执行速度远超人工监控、事后复盘、常规应急响应的能力上限。全球权威安全机构Check Point发布的专项报告明确指出，针对AI智能体的攻击具备极强的时效性与精准性，攻击者往往在新功能上线、新智能体部署的第一时间发起攻击，充分利用智能体高速执行、自主决策的特性，极致压缩安全事件发生与扩散的时间窗口，导致传统滞后式防护完全失效。
面对这一本质变革，企业安全防护思路必须完成根本性转型：从单模型点状静态防护，升级为覆盖智能体全生命周期、全操作链路的动态体系化防护。全新防护框架不仅要延续数据隐私保护、模型安全加固的基础能力，更要覆盖提示词全流程管理、Skill生命周期管控、智能体与大模型会话监控、终端与服务器协同防护、精细化权限管理、网络访问控制等全维度场景。企业安全策略必须具备实时风险识别、动态权限调整、全链路行为审计、快速应急响应四大核心能力，才能应对智能体时代更复杂、更高速、更隐蔽的安全威胁，牢牢保障业务连续性、核心数据安全和合规可控。
1.2智能体安全呈现三大核心趋势
随着AI智能体从“信息理解工具”向“自主决策执行主体”持续演进，企业面临的安全风险跳出传统AI模型安全的局限，呈现全域化、链条化、隐蔽化的全新特征，威胁贯穿智能体指令输入、功能执行、协同交互、结果输出全流程。相较于传统AI安全，智能体时代的攻击手段更具针对性与破坏性，核心可归纳为三大新型趋势，倒逼安全防护从“单点被动防御”升级为全链路动态体系化治理。
1.2.1系统提示词窃取与篡改：高隐蔽性核心数据攻击
提示词是AI智能体理解任务逻辑、执行操作指令的核心依据，企业业务型智能体的系统提示词中，通常嵌入API密钥、客户核心资料、内部业务流程、系统权限指令等高度敏感信息，相当于智能体的“核心指令大脑”。攻击者无需突破复杂的系统边界，仅通过正常交互会话即可截获、篡改或伪造提示词，直接操控智能体执行未授权操作、窃取企业核心数据。
这类攻击依托正常业务会话实施，几乎不会留下明显系统异常日志，隐蔽性极强、早期检测难度极大，极易在无声无息中完成大规模数据外泄，给企业造成不可逆的损失。企业必须搭建提示词加密传输与存储、敏感信息脱敏、异常调用行为实时监控的多层防护体系，从源头筑牢提示词安全防线。
1.2.2内容安全绕过：生成式内容合规失控风险
内容安全绕过是针对生成式AI智能体的典型攻击手段，攻击者通过精心构造诱导性输入指令，规避模型内置的安全过滤策略与合规管控规则，诱导智能体输出违规、敏感、有害内容或非法操作指令。这类攻击无需直接修改模型底层算法，仅利用生成式AI的逻辑开放性与上下文理解特性即可生效，典型风险包括智能体无意泄露内部核心数据、规避行业合规过滤规则、生成高风险业务操作指令等。
其核心防控难点在于，攻击行为完全嵌套在正常业务交互中，传统静态内容审核无法精准识别。企业必须构建全量会话实时监控、动态内容合规审核、数据防泄露(DLP)联动、工具调用权限刚性约束的全流程机制，确保智能体输出内容全程符合安全与合规要求。
1.2.3智能体特有间接注入攻击：链条化隐蔽渗透威胁
间接注入攻击是AI智能体特有的新型攻击方式，也是多智能体协同场景下的核心高危风险。攻击者依托Skill功能插件、跨智能体协作、多步骤业务操作链等场景实施间接渗透，逐步非法获取敏感权限、执行未授权操作，最终实现对整个智能体体系的控制。
这类攻击的核心特征是极强的隐蔽性，恶意Skill可在执行表面合规任务的同时，悄悄联动其他智能体或外部接口，逐级提升权限、窃取敏感数据，攻击行为完全隐藏在正常业务流程中，传统静态安全检测、边界防护手段难以提前发现。应对此类风险，企业需实现Skill全生命周期追踪、智能体行为基线建模、权限变更动态管控、全链路操作日志审计，确保每一步操作可追溯、可管控、可阻断，彻底切断风险传导链条。
总体来看，这三类新型攻击充分印证了AI智能体安全的本质变革，也凸显了企业安全体系升级的迫切性。与传统单模型安全相比，智能体体系安全涉及数据、行为、权限、工具链、协同交互等更多维度，攻击速度与扩散效率远超人工审查与常规防护的承载上限。企业必须摒弃传统被动防护思路，构建动态、全链路、实时可控的智能体专属安全管理体系，

实现全场景、全环节无死角防护，才能在AI智能体时代守住安全底线。
1.3 OpenClaw九大安全面与防护体系
OpenClaw(龙虾)作为当前行业内应用广泛、极具代表性的AI智能体典型架构，采用模块化、分层化设计理念，核心由五大组件构成：通道(Channel)、网关(Gateway)、智能体工作空间(Agent Workspace)、AI接入网关(AlGateway)及大模型服务。各组件协同联动，支撑智能体完成从指令接收到任务执行的全流程闭环，但每一层功能模块都对应专属安全风险点，单一环节防护缺失，都可能成为整个体系的安全短板。企业必须基于架构全链路拆解风险，构建全链路闭环防护体系，针对性覆盖九大核心安全面。
1.3.1 Skill生态安全
Skill是智能体实现特定业务功能的核心插件，来源复杂、质量参差不齐，是智能体体系的核心风险入口：外部市场下载的第三方Skill可能暗藏后门或恶意Prompt;自动生成的Skill逻辑严谨性不足，易出现权限过度申请问题；企业内部自研Skill存在代码质量不均、安全测试不充分等隐患，极易引发智能体被操控、数据外泄、连锁攻击等风险。
安全策略
·前置安全检测：上线前开展静态代码审计、全文件漏洞扫描、动态沙箱隔离运行、专业安全评估；

·白名单刚性管控：生产环境仅开放审批通过的Skill执行权限，版本哈希锁定，防范供应链篡改；

·运行时沙箱防护：容器隔离部署、网络访问白名单、只读文件系统、持续哈希校验。

1.3.2智能体工作空间数据安全
智能体工作空间(Workspace)是智能体处理业务数据、存储临时任务文件的核心载体，管理不当易引发数据泄露与合规风险：大数据池集中存储敏感信息、数据脱敏不彻底、任务遗留数据未及时清理、多智能体并发操作导致资源竞争与越权访问等问题，直接触碰数据安全与合规红线。
安全策略
·最小数据权限：任务仅加载必要核心数据，执行完毕自动清理临时缓存；

·敏感信息脱敏：自动扫描识别身份证、手机号、API Key等敏感信息，对话日志全程脱敏遮蔽；

·动态智能体管控：设置并发上限、统一策略继承、全生命周期管理、异常行为自动熔断。

1.3.3智能体与大模型会话安全
智能体与大模型的交互会话是AI逻辑生成、指令执行的核心环节，潜藏提示词注入、敏感数据外泄、超权限工具调用、会话死循环等高危风险，缺乏实时监控时，这类攻击可短时间内完成大规模破坏，造成不可逆损失。