中國信息通信研究院副院長魏亮。受訪者供圖

近期，開源AI智能體“龍蝦”（OpenClaw）憑借自動化任務流能力在國內產業(yè)界迅速走紅。然而其很快暴露出的安全邊界模糊等隱患，又為新應用蒙上一層風險陰影。

今年2月以來，中國信息通信研究院（以下簡稱“中國信通院”）多次發(fā)布關于防范OpenClaw開源AI智能體安全風險的預警提示。工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺（NVDB）將安全使用建議歸納為“六要六不要”，包括要定期自查是否存在互聯(lián)網暴露情況、不要將“龍蝦”智能體實例暴露到互聯(lián)網等。

如何看待伴隨OpenClaw等新型智能體出現(xiàn)的網絡新型風險？產業(yè)界的合規(guī)底線是什么？企業(yè)如何建立技能供應鏈安全審核機制？“龍蝦熱”對我國AI智能體開源生態(tài)帶來哪些啟示？澎湃新聞記者近日專訪了中國信通院副院長魏亮。

魏亮在接受澎湃新聞記者采訪時指出，和傳統(tǒng)開源軟件和普通AI工具相比，OpenClaw存在極強的高風險性和不確定性，且處在產品快速迭代、生態(tài)爆發(fā)式擴張的發(fā)展期，呈現(xiàn)出高速發(fā)展與安全風險嚴重失衡的突出矛盾。

他介紹，目前國內外出現(xiàn)了因OpenClaw使用不當導致的安全事件，不僅造成用戶數據被誤刪除、敏感信息遭泄露、企業(yè)辦公網癱瘓的后果，甚至部分OpenClaw資產被黑客攻擊成功后變?yōu)榻┦抉R主機，對外發(fā)起攻擊。

他認為，國內AI智能體開源生態(tài)要從堅持安全與開放并重、統(tǒng)籌新技術發(fā)展和安全、構建全生態(tài)治理機制三方面來建設。鼓勵開展AI框架、模型、技能研發(fā)應用，完善安全技術標準，降低對單一開源項目的依賴，提升供應鏈韌性。完善開源社區(qū)、開發(fā)者、安全機構間互動和協(xié)同機制，形成安全治理良性循環(huán)。

澎湃新聞：中國信通院近期已經對OpenClaw發(fā)出安全提示。請問，它和傳統(tǒng)開源軟件、普通AI工具的安全風險有哪些關鍵區(qū)別？

魏亮：傳統(tǒng)開源軟件和普通AI工具的功能相對明確單一，在安全方面有比較成熟的方法論，權限清晰、依賴關系簡單，所以安全風險是相對固定和有邊界的，也有比較標準的修復策略。而OpenClaw作為一個集成了高權限、自主決策、開放指令的綜合體，本身存在極強的高風險性和不確定性，且處在產品快速迭代、生態(tài)爆發(fā)式擴張的發(fā)展期，呈現(xiàn)出高速發(fā)展與安全風險嚴重失衡的突出矛盾。

總的來說，OpenClaw有四個比較典型的特征，第一是風險性更高，因為OpenClaw要求有高權限，功能邊界也不清晰，可能導致“全系統(tǒng)接管”和“持久化控制”，等同于系統(tǒng)平臺、數據信息完全淪陷。第二是隱蔽性更強，因為它具備自主決策和指令執(zhí)行能力，安全風險從“顯式操作” 轉化為“靜默接管”，極具隱蔽性，及時發(fā)現(xiàn)的難度也很大。第三是擴散速度極快，相比傳統(tǒng)開源軟件，OpenClaw外部接口多且默認信任，疊加自主決策執(zhí)行能力，極易導致安全風險從被動觸發(fā)變成主動擴散，且難以防護和攔截。第四是可審計性不足，OpenClaw的特性是決策黑箱、行為自主，決策和執(zhí)行日志也不夠完整，而且可能被隨時篡改，溯源難度較大。

澎湃新聞：目前國內是否出現(xiàn)因OpenClaw使用不當導致財產損失、數據泄露的案例？中國信通院是否有監(jiān)測到相關情況，能否具體介紹？

魏亮：我們必須清醒地看到，以OpenClaw為代表的新一代智能體技術，在創(chuàng)新模式并大幅提升生產效率的同時，也對現(xiàn)有網絡安全防護體系和方式帶來了挑戰(zhàn)。根據工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺的監(jiān)測情況看，國內外確實出現(xiàn)了因OpenClaw使用不當導致的安全事件，不僅造成用戶數據被誤刪除、敏感信息遭泄露、企業(yè)辦公網癱瘓的后果，甚至部分OpenClaw資產被黑客攻擊成功后變?yōu)榻┦抉R主機，對外發(fā)起攻擊。我在這里介紹兩類代表性的案例：

一是大模型密鑰泄露引發(fā)資金損失。有企業(yè)技術人員在部署OpenClaw后第三天，因管理不善泄露API密鑰。攻擊者在獲取密鑰后，于凌晨頻繁調用大模型接口，導致在用戶不知情的情況下產生高額賬單，造成經濟損失。

二是使用包含惡意代碼的技能導致系統(tǒng)失陷。黑產團伙批量制作包含惡意代碼的技能，并上傳至ClawHub等技能市場，用戶在使用這些技能時，系統(tǒng)會自動下載并執(zhí)行其中的惡意代碼，通過偽造彈窗誘騙用戶輸入本地賬號密碼，竊取系統(tǒng)權限。

澎湃新聞：關鍵信息基礎設施運營者使用OpenClaw的安全紅線與合規(guī)底線是什么？

魏亮：關鍵信息基礎設施關乎國家安全、國計民生和公共利益，其運營者在引入OpenClaw等新技術新產品時，應更加嚴格和慎重，在短期內仍建議以研究測試為主，同時做好安全管理。要嚴格落實《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》等相關要求，保證安全保護措施與關鍵信息基礎設施同步規(guī)劃，同步建設，同步使用。同時，特別要注意做好上線前的安全評估和試運行，使用中的網絡安全風險監(jiān)測、漏洞閉環(huán)管理和威脅處置等，建議結合本行業(yè)、本單位的實際情況，從以下幾個方面加強安全管理。

一是要嚴守6個絕不。在未通過試驗和安全評估前，絕不在核心生產環(huán)境部署，絕不授予管理員權限，絕不鏈接公共互聯(lián)網，絕不安裝未知來源和高風險技能，絕不盲從指令與第三方代碼，絕不輸入或允許讀取敏感數據。

二是要落實5個做到。選擇官方和商業(yè)產品，做到及時更新和數據備份；優(yōu)先在虛擬機或沙箱運行，做到網絡隔離；啟用Token/密碼和證書，做到強認證；選擇官方可信技能，做到先審查后使用，高風險操作二次確認；開啟詳細日志，做到安全監(jiān)控和定期審計，發(fā)現(xiàn)異常立即處置。

澎湃新聞：企業(yè)若引入OpenClaw做流程自動化，最小權限、隔離運行、審計留痕該如何落地？

魏亮：企業(yè)引入OpenClaw推進流程自動化，必須堅持以最小權限筑底線、以隔離運行控邊界、以審計留痕強合規(guī)，真正做到安全與發(fā)展并行、效率與合規(guī)兼顧。最小權限方面，要使用僅用于運行OpenClaw進程的普通權限賬號，禁止與超級管理員和業(yè)務賬號混用，可以根據具體業(yè)務場景配置獨立權限，比如只讀場景不開放寫和刪除權限，安裝、刪除和批量操作等高危指令增加二次審批。

在隔離運行方面，一個是運行環(huán)境隔離，建議使用虛擬機或容器化部署，避免對主機產生影響。另一個是網絡部署隔離，要在獨立網絡區(qū)域部署，不與核心業(yè)務系統(tǒng)互聯(lián)，非必要情況下關閉互聯(lián)網訪問，或部署專用加密通道。審計留痕方面，要開啟全量日志，詳細記錄時間、命令、結果、狀態(tài)碼等全量信息，確保登錄登出、權限變更、修改刪除、憑證使用等關鍵操作留痕，有條件的可建獨立日志審計系統(tǒng)，確保日志存儲有效、可被審計、不被篡改。

同時我們也看到，目前國內不少企業(yè)已推出網絡安全產品或技術方案，針對性解決OpenClaw部署和應用時的安全問題，為用戶防范風險提供了有力支撐。建議企事業(yè)單位和個人，結合自己的業(yè)務需求、技術能力和安全等級，合理選用安全防護產品和方案。我們也想提醒大家，任何技術的引入都是一個權衡的過程，要在現(xiàn)有的網絡安全管理框架下，尊重業(yè)務運行的客觀事實，理性評估好技術便利性和安全代價之間的平衡，穩(wěn)步推動OpenClaw的應用。

澎湃新聞：OpenClaw在應用中已出現(xiàn)“提示詞注入”、“誤操作"、技能插件（skills）投毒、安全漏洞等風險。企業(yè)該如何建立技能供應鏈安全審核機制？建議政府層面采取哪些助企措施？

魏亮：技能插件也稱技能，是OpenClaw實現(xiàn)具體功能、拓展能力邊界、提升實用價值的核心組件，容易引發(fā)供應鏈投毒和安全漏洞。類似手機APP，早期手機APP市場也曾面臨惡意軟件、違規(guī)收集信息等問題，經過多年的技術升級、平臺管控和監(jiān)管引導，已建立嚴格的應用商店審核機制，形成安全、可信的手機應用生態(tài)。

OpenClaw技能的安全治理也需要這樣一個過程，在此也提醒廣大用戶，要充分平衡使用的便利性和安全性，不安裝來源不明的技能，做好針對性的安全方案和應急預案，切實防范技能供應鏈帶來的安全風險。

具體來看，在技能引入和使用環(huán)節(jié)，一是要加強源頭管控，優(yōu)先選擇來源可信、信譽度高的技能，禁用第三方鏡像、論壇鏈接與個人分享包，禁止加載使用未簽名或簽名無效技能。二是做好安全檢測，在部署前要通過審查代碼或使用Skill Scanner等工具做好安全檢測，不要使用要求“下載ZIP”、“執(zhí)行shell腳本”或“輸入密碼”的技能。三是做好持續(xù)優(yōu)化，定期審計在用技能版本和風險情況，做到及時更新，發(fā)現(xiàn)風險立即禁用或修復，及時清理冗余或過期技能。

為了保護用戶的網絡安全權益，促進產業(yè)健康有序發(fā)展，我們建議，可結合OpenClaw技術發(fā)展實際情況，加強標準引領，跟蹤技術發(fā)展演進，明確安全規(guī)范，制定細化技能技術要求、合規(guī)標準和管理規(guī)范，引導企業(yè)合規(guī)建設、規(guī)范應用，助力AI高質量發(fā)展。

另外，還要加強技術供給，鼓勵引導企業(yè)開發(fā)安全審計工具，提供一鍵檢測能力，支持開展面向技能安全的技術培訓、攻防演練等，提升技能安全應用能力。壯大安全產業(yè)，通過政策引導、資源支持，推動整個AI安全產業(yè)協(xié)同發(fā)展，培育催生出專注于AI供應鏈治理、大模型風控、智能體行為審計的新興安全市場，為數字經濟的繁榮提供堅實的安全底座。

澎湃新聞：用戶或者廠商發(fā)現(xiàn)OpenClaw漏洞或攻擊事件，上報渠道、處置流程是怎樣的？

魏亮：根據《網絡產品安全漏洞管理規(guī)定》，廠商在發(fā)現(xiàn)自研相關產品存在安全漏洞時，要及時向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺（NVDB）報告漏洞及修補情況，做好用戶通知，并提供必要的技術支持。用戶和安全研究機構在發(fā)現(xiàn)相關安全漏洞后，可及時向網絡產品提供者（開源社區(qū)）通報，由網絡產品提供者進行驗證和修補，也可向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺（NVDB）報告，NVDB在確認漏洞后通知相關網絡產品提供者，并督促其完成處置，也會視漏洞危害情況發(fā)布安全預警。針對攻擊事件，網絡運營者、社會組織和個人在發(fā)現(xiàn)相關網絡安全事件時，可按照《國家網絡安全事件報告管理辦法》《公共互聯(lián)網網絡安全威脅監(jiān)測與處置辦法》以及本行業(yè)領域的相關規(guī)定進行報告和處置。

澎湃新聞：OpenClaw的安全風波，對國內AI智能體開源生態(tài)帶來哪些啟示？

魏亮：近期OpenClaw的突出安全問題聚焦在權限失控、技能投毒、提示詞注入和遠程接管，從根源看，是由于安全設計缺陷、部署運維粗放、生態(tài)治理缺位等問題疊加導致。

對于國內AI智能體開源生態(tài)建設來講，建議要從三方面予以加強：一是安全與開放并重。從開源社區(qū)源頭加強管控，強化開發(fā)者認證、準入審核和安全檢測，建立安全可信白名單，杜絕惡意投毒與后門植入。

二是新技術要統(tǒng)籌發(fā)展和安全。推動開源社區(qū)加強開發(fā)者安全意識培養(yǎng)，將最小權限、隔離運行、審計留痕等作為安全性保障的基本要求，避免事后補漏。

三是構建全生態(tài)治理機制。鼓勵開展AI框架、模型、技能研發(fā)應用，完善安全技術標準，降低對單一開源項目的依賴，提升供應鏈韌性。完善開源社區(qū)、開發(fā)者、安全機構間互動和協(xié)同機制，形成安全治理良性循環(huán)。

澎湃新聞：針對OpenClaw暴露的權限失控、數據泄露、技能插件投毒等安全隱患，中國信通院在國產Al智能體生態(tài)建設方面有哪些規(guī)劃？

魏亮：智能體作為大模型應用的主要形態(tài)，加速人工智能從感知認知向決策執(zhí)行演進，但仍暴露出諸多安全風險。中國信通院聚焦人工智能產業(yè)高質量發(fā)展需求，積極推進智能體標準研制、評估測試與生態(tài)建設，推動我國人工智能產業(yè)自主創(chuàng)新、筑牢產業(yè)安全底座。

一是構建完善的智能體標準與基準測試體系。一方面，圍繞基礎支撐、通用場景、行業(yè)應用形成智能體標準體系，已完成10余項標準研制，為國產智能體產品研發(fā)提供基本遵循。另一方面，構建“方升”智能體基準測試體系，聚焦智能體通用能力、通用任務、典型應用場景，體系化評估智能體能力，促進國產智能體產品持續(xù)優(yōu)化。

二是加強智能體核心技術攻關。聚焦智能體互聯(lián)協(xié)作技術，加速智能體通信協(xié)議國產化；推動國內智能體開發(fā)平臺與工具落地應用，降低智能體開發(fā)門檻。

三是搭建國內智能體產業(yè)協(xié)同生態(tài)平臺。依托中國人工智能產業(yè)發(fā)展聯(lián)盟成立智能體創(chuàng)新與應用工作組，推動產學研用深度融合，提供智能體供需對接平臺，鼓勵企業(yè)參與國產智能體研發(fā)與應用試點。