问题:智能体“能干活”带来新的攻击面 报告指出,OpenClaw凭借本地常驻、模块化扩展、闭环执行等特性,推动大模型从“对话式助手”走向“可执行任务的数字员工”;它终端侧具备较强的系统操作能力,可调用外部工具、自动编排任务流程,已在政企试用和个人用户中受到关注。此外,智能体越贴近操作系统和业务数据,风险就越接近“真实损失”。一旦出现恶意扩展、远程入侵或误操作,影响可能从单机蔓延到账号体系与内网资产,成为智能体落地过程中的突出安全挑战。 原因:扩展生态、默认权限与交互链路叠加风险 从架构看,OpenClaw通常可分为四层:面向不同入口的渠道适配层、负责决策与编排的智能层、承载技能与工具调用的能力层,以及记忆与状态管理层。它支持本地与云端等多种部署形态,可对接本地或云端大模型,并通过Skill机制持续扩展能力。报告提示,风险主要来自三上叠加: 一是供应链复杂度上升。随着技能市场与社区生态扩张,来源不明或被投毒的Skill更容易进入分发链路,带来凭证窃取、横向移动、后门驻留等隐患。 二是“便利优先”的配置习惯。为尽快可用,部分用户可能使用不明安装包、对外暴露服务端口、以明文保存访问令牌与账号口令等,为攻击者提供低成本入口。 三是框架与交互环节的复合风险。报告提到,框架层面已出现包括CVE-2026-25253内的高危问题,可能被利用实施远程代码执行、命令注入等攻击;在模型交互环节,还存在提示词注入、记忆投毒以及“幻觉”导致的高风险误操作等新型风险,个别场景甚至会引发数据误删、误改等实质性损害。 影响:从单点安全事件走向系统性业务风险 业内人士认为,智能体与传统软件的显著差异在于“执行链路更长、决策更复杂、权限触达更深”。在企业环境中,若智能体以高权限运行,并可访问代码仓库、办公系统、运维工具或财务数据,一次恶意Skill或一次被诱导的错误决策,就可能触发从数据泄露到业务中断的连锁反应;在个人侧,凭证被窃取、浏览器会话被接管、网盘资料外泄等风险也会同步上升。报告提醒,智能体时代的安全不止是“防入侵”,同样要防“被误导的执行”。 对策:以最小权限、供应链治理与可审计运维构筑防线 针对上述风险,报告提出一套覆盖部署与运维全流程的建议框架: ——系统部署上,建议优先使用可信来源安装包,建立版本与配置基线,关键目录与执行文件启用完整性校验;对外服务默认关闭,确需开放时设置访问控制与加密通道。 ——网络与边界方面,按业务域划分网络分区,将智能体运行环境与核心资产隔离;对出站访问进行策略约束,限制连接不必要的外部域名与未知下载源,降低被诱导拉取恶意载荷的概率。 ——凭证管理方面,避免明文保存账号口令与访问令牌,采用安全存储与定期轮换;对高敏权限设置二次确认与分级授权,减少“一键全权接管”带来的失控风险。 ——Skill供应链方面,建立准入白名单与签名校验机制,形成可追溯的组件清单与更新审计;对第三方Skill进行沙箱隔离与行为监测,重点关注文件读写、命令执行、网络外联等高风险动作。 ——日志审计与漏洞治理方面,完善操作日志、调用链路与异常告警,确保可追溯取证;建立漏洞跟踪与补丁管理制度,对高危漏洞快速评估、验证与处置,避免“已知漏洞长期暴露”。 前景:从“快应用”转向“可治理”,安全规则将成为规模化门槛 多位安全从业者指出,随着本地优先智能体在政务、金融、制造等场景的探索加速,行业将从“功能可用”逐步转向“安全可控”。未来一段时间,智能体生态治理、权限边界设计、扩展组件审核、运行行为可解释与可审计等能力,可能成为产品进入关键行业的基本门槛。与此同时,围绕技能市场规范、漏洞响应机制、数据与凭证保护等的制度与标准也有望加快完善,为创新应用提供更稳固的安全基础。
智能体让“会回答问题”走向“能直接办事”,效率提升的同时也让风险从网络空间延伸到真实资产。将安全要求前置到架构设计、生态治理与日常运维中,以最小权限、可追溯审计和可控供应链守住底线,才能让技术红利在可监管、可持续的轨道上释放更大价值。