中国信息通信研究院跟腾讯云,这回弄出了一个叫“云上养虾安全七条”的东西。为啥叫养虾呢?你看,OpenClaw还有那些AI智能体现在这么火,不管是个人搞开发还是企业用,“养虾”就成了往智能云上去转型的一种热潮。不过发展太快也带来了麻烦,开源的形态让它部署得很快,可安全风险也变得前所未有的大。为了把这个技术落地的时候安全点,中国信通院跟腾讯云联合提出来了这七条,算是给产业界立了个安全标杆。 以前腾讯给龙虾也出过安全工具箱,现在风险更明显了,结构性的安全问题加上生态里的挑战都摆在眼前。今年2月工信部那边就专门发了预警,说OpenClaw用得不好或者配置不对头都很危险。现在它最主要的风险在四个地方:提示词注入攻击、权限跟隔离做得不到位、供应链生态有隐患、还有审计追溯这方面有点差。为了响应监管要求,也为了让技术能安全落地,“云上养虾安全七条”就把配置、运行、生态还有应急的各个环节都给包圆了。 第一,版本一定要合规。得从官方渠道拿最新稳定版用,别用没经过安全审核的第三方镜像或者老版本。第二,网络要收敛点。别让它直接连公网,用内网隔离或者VPN/零信任通道来访问,防止横向移动和外部攻击。第三,权限要最小化。搞个专用低权限的账户运行,把它放到沙箱或者容器里去,干那种高危操作得需要二次确认或者人工审批才行。第四,数据隐私要保证好。敏感信息得加密存起来,定期备份还要严格管着访问权限。第五,技能得规范一点。优先挑官方认证的或者经过审查的技能包用,外头的公开包别随便下。第六,接入得防控好点。装个提示词注入防护还有内容安全防护这些产品,把终端和入口都给管住。第七,审计得闭环起来。云端日志得传上去好查好管,异常情况有流程来处置。 这七条不光是规定条文,更是想给这个正在爆发的云上智能体生态指条明路。腾讯还给龙虾弄了个安全工具箱,专门针对云端部署、办公网环境还有个人电脑这三大场景来干活。这个工具箱把核心能力做成了AI Skills,用户只要跟AI说句话就能让小龙虾自己去防护了。 针对搞云端开发的开发者跟企业,腾讯云Lighthouse、ClawPro、Agent安全中心、Agent安全网关这些东西一起构成了个防线;针对办公网里的公司,腾讯iOA弄了六条防线形成闭环;针对个人用户,电脑管家升级了功能能隔离高权限操作。EdgeOne ClawScan一句话就能体检出结果;HaS Anonymizer能本地识别替换敏感信息让数据“看不见”。 要想让技术变成产业化的生产力,底层的安全保障少不了。腾讯以后还会接着升级功能加深跟伙伴的合作,一块儿把云上AI的生态搞得既可信又繁荣。