近期，开源AI智能体OpenClaw爆火，在GitHub上短短几周便成为有史以来最受欢迎的开源项目，引领AI正式迈入“Agent时代”。这股狂潮在中国市场引发了前所未有的部署热，不仅腾讯云、百度等大厂纷纷下场提供部署服务，各地方政府甚至出台了“养龙虾”专项规划与算力兜底补贴，重金鼓励企业进行产业应用。

然而，当AI从单纯的“辅助建议”跃升至接管屏幕和系统的“自主执行”阶段，一道关于安全的红线也随之紧绷。据第三方监测平台declawed.io统计（截至3月12日），全球共探测到超过47万例OpenClaw公网暴露实例，大量实例由于默认配置脆弱，在黑客面前近乎“裸奔”。一旦这些极易引发网络攻击的安全风险被利用，往往伴随着失控的阴影。

图源：declawed.io官网

官方频发风险提示

起底OpenClaw的安全风险

OpenClaw属于典型的执行型智能体框架。其核心流程可以概括为：用户目标输入、模型拆解任务、选择工具执行、获取执行结果、再次推理、多轮迭代直至完成任务。

该机制意味着系统行为并非固定逻辑，而是由大模型动态生成的“行动序列”。用户只需下达高层指令（如“整理本地文件并生成报告”），OpenClaw就能自动遍历目录、读取文件并调用脚本输出结果。这种架构在赋予用户极致生产力的同时，也让AI暴露在巨大的风险之中。一旦推理链路被攻击者影响，系统可能执行不可逆的危险操作。

面对席卷全国的“养虾”热潮，监管层的警报已经拉响。继工业和信息化部网络安全威胁和漏洞信息共享平台发布《关于防范OpenClaw开源AI智能体安全风险的预警提示》的公告后，国家互联网应急中心近日再次发布《关于OpenClaw安全应用的风险提示》的公告，提示由于OpenClaw智能体的不当安装和使用，已经出现的一些严重安全风险：

1. “提示词注入”风险：隐形的指令劫持

网络攻击者通过在网页或文档中构造隐藏的恶意指令，诱导OpenClaw读取该文件，即可在不知不觉中劫持智能体，导致系统密钥泄露或执行恶意代码。

真实案例：安全机构HiddenLayer证实了“间接提示词注入”的杀伤力。攻击者仅需在网页中埋入一段肉眼不可见的文字，当OpenClaw尝试“总结网页”时，就会被劫持去下载并执行远程恶意脚本。

图源：Dark Reading 报道

2. “误操作”风险：大模型“失忆”导致数据丢失

由于模型在处理超长文本时的局限性，智能体可能会在复杂任务中遗忘用户的安全指令，从而彻底删除电子邮件、核心生产数据等重要信息。

真实案例：Meta安全总监Summer Yue在使用OpenClaw整理邮件时，因模型丢失了“需二次确认”的指令，导致AI疯狂删除了其大量核心邮件，她最终不得不强行切断电源才终止了损失。

图源：三联生活周刊报道，Summer Yue的聊天截图

3. 功能插件（Skills）投毒风险：供应链的“木马”

多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险，安装后可执行窃取密钥、部署木马后门软件等恶意操作，使得设备沦为“肉鸡”。

真实案例：“ClawHavoc”投毒活动中，黑客在插件市场上传了300多个恶意插件，一旦用户调用，便会静默部署木马窃取浏览器密码和加密钱包密钥，受害者已超万人。

4. 系统安全漏洞风险：一键接管的“破窗效应”

截至3月10日，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。

真实案例：网络安全公司SentinelOne披露了高危漏洞CVE-2026-25253。黑客通过构造一个恶意的 WebSocket 连接链接，只要用户在运行OpenClaw时点击，其认证Token就会被瞬间窃取，导致电脑权限完全移交黑客。

护航智能体安全发展

构建全链路Agent安全防护体系

面对全民部署Agent的热潮与AI“行动权”下放带来的全新隐患，传统的单点修补早已捉襟见肘。数美科技作为领先的AGI基础服务提供商，依托在大模型风控领域的深厚实战经验，直击智能体生态的安全痛点，为Agent打造了一套涵盖三大核心维度的全链路安全防护方案：

1. 输入风险：守牢入口关卡，抵御多维注入攻击

Agent面临的最直观威胁来自与外界的交互。方案致力于在源头切断恶意输入：

防范直接注入风险：深度识别并精准拦截恶意的提示词内容风险（如涉黄、涉暴、违规内容），以及各类复杂的指令注入攻击（Prompt Injection / 越狱攻击），防止 Agent被恶意诱导输出违规结果。

审查间接注入链路：针对Agent联网和调用外部数据的特性，建立严格的审查机制，切断通过恶意URL、被污染的第三方API接口、受损数据库等隐蔽外部渠道引入的“投毒”与注入风险。

2. 执行风险：严控运行中枢，阻断越权与数据外泄

Agent在执行任务时拥有极大的自主权，必须将其关进安全的“笼子”里：

工具调用动态管控：建立并严格执行插件与工具调用的黑白名单机制，防止Agent滥用高危工具或执行非预期的破坏性指令。

全方位数据防泄漏：实时监控内部数据访问频次，拦截数据访问量异常激增风险；精准识别并屏蔽输出结果中的PII（个人敏感信息）数据以及底层系统信息外泄，守住数据资产底线。

细粒度权限治理：严密防范运行时的权限非法提升与扩展；利用沉淀的意图识别能力，确保用户当前意图与实际授予权限严格匹配，彻底消除权限过剩带来的越权操作隐患。

3. 身份风险：建立信任边界，甄别异常身份凭证

在智能体交互时代，身份验证是保护核心业务的最后一道防线：

异常凭证实时监测：结合行为分析，实时识别并阻断来自异常地理位置、高危/异常 IP 网段盗用API Token进行的非法认证行为。

可信服务身份校验： 构建严格的机器身份（非人身份）准入屏障，精准拦截未授权的第三方Agent 非法越权、拉取或窃取企业核心业务数据的行为。

---

智能体生态的安全攻防将是一场持久战，数美科技的全链路Agent安全防护方案也将结合最新的业务场景持续迭代升级，护航智能体安全、健康发展。如果对数美的Agent安全防护方案感兴趣，欢迎随时在后台留言或私信联系我们进一步交流探讨！