中國信息通信研究院副院長魏亮。受訪者供圖

近期，開源AI智能體“龍蝦”（OpenClaw）憑借自動化任務(wù)流能力在國內(nèi)產(chǎn)業(yè)界迅速走紅。然而其很快暴露出的安全邊界模糊等隱患，又為新應(yīng)用蒙上一層風(fēng)險陰影。

今年2月以來，中國信息通信研究院（以下簡稱“中國信通院”）多次發(fā)布關(guān)于防范OpenClaw開源AI智能體安全風(fēng)險的預(yù)警提示。工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）將安全使用建議歸納為“六要六不要”，包括要定期自查是否存在互聯(lián)網(wǎng)暴露情況、不要將“龍蝦”智能體實(shí)例暴露到互聯(lián)網(wǎng)等。

如何看待伴隨OpenClaw等新型智能體出現(xiàn)的網(wǎng)絡(luò)新型風(fēng)險？產(chǎn)業(yè)界的合規(guī)底線是什么？企業(yè)如何建立技能供應(yīng)鏈安全審核機(jī)制？“龍蝦熱”對我國AI智能體開源生態(tài)帶來哪些啟示？澎湃新聞記者近日專訪了中國信通院副院長魏亮。

魏亮在接受澎湃新聞記者采訪時指出，和傳統(tǒng)開源軟件和普通AI工具相比，OpenClaw存在極強(qiáng)的高風(fēng)險性和不確定性，且處在產(chǎn)品快速迭代、生態(tài)爆發(fā)式擴(kuò)張的發(fā)展期，呈現(xiàn)出高速發(fā)展與安全風(fēng)險嚴(yán)重失衡的突出矛盾。

他介紹，目前國內(nèi)外出現(xiàn)了因OpenClaw使用不當(dāng)導(dǎo)致的安全事件，不僅造成用戶數(shù)據(jù)被誤刪除、敏感信息遭泄露、企業(yè)辦公網(wǎng)癱瘓的后果，甚至部分OpenClaw資產(chǎn)被黑客攻擊成功后變?yōu)榻┦抉R主機(jī)，對外發(fā)起攻擊。

他認(rèn)為，國內(nèi)AI智能體開源生態(tài)要從堅持安全與開放并重、統(tǒng)籌新技術(shù)發(fā)展和安全、構(gòu)建全生態(tài)治理機(jī)制三方面來建設(shè)。鼓勵開展AI框架、模型、技能研發(fā)應(yīng)用，完善安全技術(shù)標(biāo)準(zhǔn)，降低對單一開源項目的依賴，提升供應(yīng)鏈韌性。完善開源社區(qū)、開發(fā)者、安全機(jī)構(gòu)間互動和協(xié)同機(jī)制，形成安全治理良性循環(huán)。

澎湃新聞：中國信通院近期已經(jīng)對OpenClaw發(fā)出安全提示。請問，它和傳統(tǒng)開源軟件、普通AI工具的安全風(fēng)險有哪些關(guān)鍵區(qū)別？

魏亮：傳統(tǒng)開源軟件和普通AI工具的功能相對明確單一，在安全方面有比較成熟的方法論，權(quán)限清晰、依賴關(guān)系簡單，所以安全風(fēng)險是相對固定和有邊界的，也有比較標(biāo)準(zhǔn)的修復(fù)策略。而OpenClaw作為一個集成了高權(quán)限、自主決策、開放指令的綜合體，本身存在極強(qiáng)的高風(fēng)險性和不確定性，且處在產(chǎn)品快速迭代、生態(tài)爆發(fā)式擴(kuò)張的發(fā)展期，呈現(xiàn)出高速發(fā)展與安全風(fēng)險嚴(yán)重失衡的突出矛盾。

總的來說，OpenClaw有四個比較典型的特征，第一是風(fēng)險性更高，因?yàn)镺penClaw要求有高權(quán)限，功能邊界也不清晰，可能導(dǎo)致“全系統(tǒng)接管”和“持久化控制”，等同于系統(tǒng)平臺、數(shù)據(jù)信息完全淪陷。第二是隱蔽性更強(qiáng)，因?yàn)樗邆渥灾鳑Q策和指令執(zhí)行能力，安全風(fēng)險從“顯式操作” 轉(zhuǎn)化為“靜默接管”，極具隱蔽性，及時發(fā)現(xiàn)的難度也很大。第三是擴(kuò)散速度極快，相比傳統(tǒng)開源軟件，OpenClaw外部接口多且默認(rèn)信任，疊加自主決策執(zhí)行能力，極易導(dǎo)致安全風(fēng)險從被動觸發(fā)變成主動擴(kuò)散，且難以防護(hù)和攔截。第四是可審計性不足，OpenClaw的特性是決策黑箱、行為自主，決策和執(zhí)行日志也不夠完整，而且可能被隨時篡改，溯源難度較大。

澎湃新聞：目前國內(nèi)是否出現(xiàn)因OpenClaw使用不當(dāng)導(dǎo)致財產(chǎn)損失、數(shù)據(jù)泄露的案例？中國信通院是否有監(jiān)測到相關(guān)情況，能否具體介紹？

魏亮：我們必須清醒地看到，以O(shè)penClaw為代表的新一代智能體技術(shù)，在創(chuàng)新模式并大幅提升生產(chǎn)效率的同時，也對現(xiàn)有網(wǎng)絡(luò)安全防護(hù)體系和方式帶來了挑戰(zhàn)。根據(jù)工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺的監(jiān)測情況看，國內(nèi)外確實(shí)出現(xiàn)了因OpenClaw使用不當(dāng)導(dǎo)致的安全事件，不僅造成用戶數(shù)據(jù)被誤刪除、敏感信息遭泄露、企業(yè)辦公網(wǎng)癱瘓的后果，甚至部分OpenClaw資產(chǎn)被黑客攻擊成功后變?yōu)榻┦抉R主機(jī)，對外發(fā)起攻擊。我在這里介紹兩類代表性的案例：

一是大模型密鑰泄露引發(fā)資金損失。有企業(yè)技術(shù)人員在部署OpenClaw后第三天，因管理不善泄露API密鑰。攻擊者在獲取密鑰后，于凌晨頻繁調(diào)用大模型接口，導(dǎo)致在用戶不知情的情況下產(chǎn)生高額賬單，造成經(jīng)濟(jì)損失。

二是使用包含惡意代碼的技能導(dǎo)致系統(tǒng)失陷。黑產(chǎn)團(tuán)伙批量制作包含惡意代碼的技能，并上傳至ClawHub等技能市場，用戶在使用這些技能時，系統(tǒng)會自動下載并執(zhí)行其中的惡意代碼，通過偽造彈窗誘騙用戶輸入本地賬號密碼，竊取系統(tǒng)權(quán)限。

澎湃新聞：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者使用OpenClaw的安全紅線與合規(guī)底線是什么？

魏亮：關(guān)鍵信息基礎(chǔ)設(shè)施關(guān)乎國家安全、國計民生和公共利益，其運(yùn)營者在引入OpenClaw等新技術(shù)新產(chǎn)品時，應(yīng)更加嚴(yán)格和慎重，在短期內(nèi)仍建議以研究測試為主，同時做好安全管理。要嚴(yán)格落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等相關(guān)要求，保證安全保護(hù)措施與關(guān)鍵信息基礎(chǔ)設(shè)施同步規(guī)劃，同步建設(shè)，同步使用。同時，特別要注意做好上線前的安全評估和試運(yùn)行，使用中的網(wǎng)絡(luò)安全風(fēng)險監(jiān)測、漏洞閉環(huán)管理和威脅處置等，建議結(jié)合本行業(yè)、本單位的實(shí)際情況，從以下幾個方面加強(qiáng)安全管理。

一是要嚴(yán)守6個絕不。在未通過試驗(yàn)和安全評估前，絕不在核心生產(chǎn)環(huán)境部署，絕不授予管理員權(quán)限，絕不鏈接公共互聯(lián)網(wǎng)，絕不安裝未知來源和高風(fēng)險技能，絕不盲從指令與第三方代碼，絕不輸入或允許讀取敏感數(shù)據(jù)。

二是要落實(shí)5個做到。選擇官方和商業(yè)產(chǎn)品，做到及時更新和數(shù)據(jù)備份；優(yōu)先在虛擬機(jī)或沙箱運(yùn)行，做到網(wǎng)絡(luò)隔離；啟用Token/密碼和證書，做到強(qiáng)認(rèn)證；選擇官方可信技能，做到先審查后使用，高風(fēng)險操作二次確認(rèn)；開啟詳細(xì)日志，做到安全監(jiān)控和定期審計，發(fā)現(xiàn)異常立即處置。

澎湃新聞：企業(yè)若引入OpenClaw做流程自動化，最小權(quán)限、隔離運(yùn)行、審計留痕該如何落地？

魏亮：企業(yè)引入OpenClaw推進(jìn)流程自動化，必須堅持以最小權(quán)限筑底線、以隔離運(yùn)行控邊界、以審計留痕強(qiáng)合規(guī)，真正做到安全與發(fā)展并行、效率與合規(guī)兼顧。最小權(quán)限方面，要使用僅用于運(yùn)行OpenClaw進(jìn)程的普通權(quán)限賬號，禁止與超級管理員和業(yè)務(wù)賬號混用，可以根據(jù)具體業(yè)務(wù)場景配置獨(dú)立權(quán)限，比如只讀場景不開放寫和刪除權(quán)限，安裝、刪除和批量操作等高危指令增加二次審批。

在隔離運(yùn)行方面，一個是運(yùn)行環(huán)境隔離，建議使用虛擬機(jī)或容器化部署，避免對主機(jī)產(chǎn)生影響。另一個是網(wǎng)絡(luò)部署隔離，要在獨(dú)立網(wǎng)絡(luò)區(qū)域部署，不與核心業(yè)務(wù)系統(tǒng)互聯(lián)，非必要情況下關(guān)閉互聯(lián)網(wǎng)訪問，或部署專用加密通道。審計留痕方面，要開啟全量日志，詳細(xì)記錄時間、命令、結(jié)果、狀態(tài)碼等全量信息，確保登錄登出、權(quán)限變更、修改刪除、憑證使用等關(guān)鍵操作留痕，有條件的可建獨(dú)立日志審計系統(tǒng)，確保日志存儲有效、可被審計、不被篡改。

同時我們也看到，目前國內(nèi)不少企業(yè)已推出網(wǎng)絡(luò)安全產(chǎn)品或技術(shù)方案，針對性解決OpenClaw部署和應(yīng)用時的安全問題，為用戶防范風(fēng)險提供了有力支撐。建議企事業(yè)單位和個人，結(jié)合自己的業(yè)務(wù)需求、技術(shù)能力和安全等級，合理選用安全防護(hù)產(chǎn)品和方案。我們也想提醒大家，任何技術(shù)的引入都是一個權(quán)衡的過程，要在現(xiàn)有的網(wǎng)絡(luò)安全管理框架下，尊重業(yè)務(wù)運(yùn)行的客觀事實(shí)，理性評估好技術(shù)便利性和安全代價之間的平衡，穩(wěn)步推動OpenClaw的應(yīng)用。

澎湃新聞：OpenClaw在應(yīng)用中已出現(xiàn)“提示詞注入”、“誤操作"、技能插件（skills）投毒、安全漏洞等風(fēng)險。企業(yè)該如何建立技能供應(yīng)鏈安全審核機(jī)制？建議政府層面采取哪些助企措施？

魏亮：技能插件也稱技能，是OpenClaw實(shí)現(xiàn)具體功能、拓展能力邊界、提升實(shí)用價值的核心組件，容易引發(fā)供應(yīng)鏈投毒和安全漏洞。類似手機(jī)APP，早期手機(jī)APP市場也曾面臨惡意軟件、違規(guī)收集信息等問題，經(jīng)過多年的技術(shù)升級、平臺管控和監(jiān)管引導(dǎo)，已建立嚴(yán)格的應(yīng)用商店審核機(jī)制，形成安全、可信的手機(jī)應(yīng)用生態(tài)。

OpenClaw技能的安全治理也需要這樣一個過程，在此也提醒廣大用戶，要充分平衡使用的便利性和安全性，不安裝來源不明的技能，做好針對性的安全方案和應(yīng)急預(yù)案，切實(shí)防范技能供應(yīng)鏈帶來的安全風(fēng)險。

具體來看，在技能引入和使用環(huán)節(jié)，一是要加強(qiáng)源頭管控，優(yōu)先選擇來源可信、信譽(yù)度高的技能，禁用第三方鏡像、論壇鏈接與個人分享包，禁止加載使用未簽名或簽名無效技能。二是做好安全檢測，在部署前要通過審查代碼或使用Skill Scanner等工具做好安全檢測，不要使用要求“下載ZIP”、“執(zhí)行shell腳本”或“輸入密碼”的技能。三是做好持續(xù)優(yōu)化，定期審計在用技能版本和風(fēng)險情況，做到及時更新，發(fā)現(xiàn)風(fēng)險立即禁用或修復(fù)，及時清理冗余或過期技能。

為了保護(hù)用戶的網(wǎng)絡(luò)安全權(quán)益，促進(jìn)產(chǎn)業(yè)健康有序發(fā)展，我們建議，可結(jié)合OpenClaw技術(shù)發(fā)展實(shí)際情況，加強(qiáng)標(biāo)準(zhǔn)引領(lǐng)，跟蹤技術(shù)發(fā)展演進(jìn)，明確安全規(guī)范，制定細(xì)化技能技術(shù)要求、合規(guī)標(biāo)準(zhǔn)和管理規(guī)范，引導(dǎo)企業(yè)合規(guī)建設(shè)、規(guī)范應(yīng)用，助力AI高質(zhì)量發(fā)展。

另外，還要加強(qiáng)技術(shù)供給，鼓勵引導(dǎo)企業(yè)開發(fā)安全審計工具，提供一鍵檢測能力，支持開展面向技能安全的技術(shù)培訓(xùn)、攻防演練等，提升技能安全應(yīng)用能力。壯大安全產(chǎn)業(yè)，通過政策引導(dǎo)、資源支持，推動整個AI安全產(chǎn)業(yè)協(xié)同發(fā)展，培育催生出專注于AI供應(yīng)鏈治理、大模型風(fēng)控、智能體行為審計的新興安全市場，為數(shù)字經(jīng)濟(jì)的繁榮提供堅實(shí)的安全底座。

澎湃新聞：用戶或者廠商發(fā)現(xiàn)OpenClaw漏洞或攻擊事件，上報渠道、處置流程是怎樣的？

魏亮：根據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，廠商在發(fā)現(xiàn)自研相關(guān)產(chǎn)品存在安全漏洞時，要及時向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）報告漏洞及修補(bǔ)情況，做好用戶通知，并提供必要的技術(shù)支持。用戶和安全研究機(jī)構(gòu)在發(fā)現(xiàn)相關(guān)安全漏洞后，可及時向網(wǎng)絡(luò)產(chǎn)品提供者（開源社區(qū)）通報，由網(wǎng)絡(luò)產(chǎn)品提供者進(jìn)行驗(yàn)證和修補(bǔ)，也可向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）報告，NVDB在確認(rèn)漏洞后通知相關(guān)網(wǎng)絡(luò)產(chǎn)品提供者，并督促其完成處置，也會視漏洞危害情況發(fā)布安全預(yù)警。針對攻擊事件，網(wǎng)絡(luò)運(yùn)營者、社會組織和個人在發(fā)現(xiàn)相關(guān)網(wǎng)絡(luò)安全事件時，可按照《國家網(wǎng)絡(luò)安全事件報告管理辦法》《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測與處置辦法》以及本行業(yè)領(lǐng)域的相關(guān)規(guī)定進(jìn)行報告和處置。

澎湃新聞：OpenClaw的安全風(fēng)波，對國內(nèi)AI智能體開源生態(tài)帶來哪些啟示？

魏亮：近期OpenClaw的突出安全問題聚焦在權(quán)限失控、技能投毒、提示詞注入和遠(yuǎn)程接管，從根源看，是由于安全設(shè)計缺陷、部署運(yùn)維粗放、生態(tài)治理缺位等問題疊加導(dǎo)致。

對于國內(nèi)AI智能體開源生態(tài)建設(shè)來講，建議要從三方面予以加強(qiáng)：一是安全與開放并重。從開源社區(qū)源頭加強(qiáng)管控，強(qiáng)化開發(fā)者認(rèn)證、準(zhǔn)入審核和安全檢測，建立安全可信白名單，杜絕惡意投毒與后門植入。

二是新技術(shù)要統(tǒng)籌發(fā)展和安全。推動開源社區(qū)加強(qiáng)開發(fā)者安全意識培養(yǎng)，將最小權(quán)限、隔離運(yùn)行、審計留痕等作為安全性保障的基本要求，避免事后補(bǔ)漏。

三是構(gòu)建全生態(tài)治理機(jī)制。鼓勵開展AI框架、模型、技能研發(fā)應(yīng)用，完善安全技術(shù)標(biāo)準(zhǔn)，降低對單一開源項目的依賴，提升供應(yīng)鏈韌性。完善開源社區(qū)、開發(fā)者、安全機(jī)構(gòu)間互動和協(xié)同機(jī)制，形成安全治理良性循環(huán)。

澎湃新聞：針對OpenClaw暴露的權(quán)限失控、數(shù)據(jù)泄露、技能插件投毒等安全隱患，中國信通院在國產(chǎn)Al智能體生態(tài)建設(shè)方面有哪些規(guī)劃？

魏亮：智能體作為大模型應(yīng)用的主要形態(tài)，加速人工智能從感知認(rèn)知向決策執(zhí)行演進(jìn)，但仍暴露出諸多安全風(fēng)險。中國信通院聚焦人工智能產(chǎn)業(yè)高質(zhì)量發(fā)展需求，積極推進(jìn)智能體標(biāo)準(zhǔn)研制、評估測試與生態(tài)建設(shè)，推動我國人工智能產(chǎn)業(yè)自主創(chuàng)新、筑牢產(chǎn)業(yè)安全底座。

一是構(gòu)建完善的智能體標(biāo)準(zhǔn)與基準(zhǔn)測試體系。一方面，圍繞基礎(chǔ)支撐、通用場景、行業(yè)應(yīng)用形成智能體標(biāo)準(zhǔn)體系，已完成10余項標(biāo)準(zhǔn)研制，為國產(chǎn)智能體產(chǎn)品研發(fā)提供基本遵循。另一方面，構(gòu)建“方升”智能體基準(zhǔn)測試體系，聚焦智能體通用能力、通用任務(wù)、典型應(yīng)用場景，體系化評估智能體能力，促進(jìn)國產(chǎn)智能體產(chǎn)品持續(xù)優(yōu)化。

二是加強(qiáng)智能體核心技術(shù)攻關(guān)。聚焦智能體互聯(lián)協(xié)作技術(shù)，加速智能體通信協(xié)議國產(chǎn)化；推動國內(nèi)智能體開發(fā)平臺與工具落地應(yīng)用，降低智能體開發(fā)門檻。

三是搭建國內(nèi)智能體產(chǎn)業(yè)協(xié)同生態(tài)平臺。依托中國人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟成立智能體創(chuàng)新與應(yīng)用工作組，推動產(chǎn)學(xué)研用深度融合，提供智能體供需對接平臺，鼓勵企業(yè)參與國產(chǎn)智能體研發(fā)與應(yīng)用試點(diǎn)。