问题——开源智能体广泛部署带来新的安全挑战。 随着大模型应用加速落地,具备本地执行、文件管理、邮件收发等能力的开源智能体工具被不少机构和个人采用。其中,“龙虾”因可终端设备上执行多步骤任务、拓展第三方能力组件而受到追捧。但业内同时注意到,工信部网络安全威胁和漏洞信息共享平台已就有关风险发出提示,强调在使用与部署环节需加强防护,避免因配置不当或第三方组件问题引发数据泄露、系统受控等事件。 原因——“补丁已更新”不等于“风险已消除”。 专家指出,版本升级主要覆盖已知漏洞修复,难以解决三类结构性隐患:其一,信任边界容易被误判。智能体在本地可调用文件、网络与系统资源,权限越高、可达路径越多,一旦指令被误触发或被诱导执行,后果更直接。其二,扩展能力链条长、审核成本高。第三方技能包、插件或脚本若缺少严格审查,可能被植入后门或恶意逻辑,形成“供应链式”风险。其三,部署配置常见“图省事”做法埋下隐患,例如实例直接暴露公网、密钥明文保存、默认高权限账号运行等,都会显著降低攻击门槛。专家概括称:工具能力越强,攻击面往往越宽,安全不应只盯着版本号。 影响——从“误操作”到“被控端”,风险可连锁放大。 在实际场景中,智能体对系统的写入、删除、发送等操作具有即时性。一旦出现指令理解偏差或被恶意提示词诱导,可能造成批量删除、敏感文件外传、邮件群发等问题;若再叠加开放端口、弱口令、密钥泄露等因素,攻击者可继续获得持久化控制权限,影响从单机扩展到内网资产。对党政机关、企事业单位而言,此类工具若进入办公网络并接触业务数据,还可能带来合规风险与声誉风险,必须以“可控、可审计、可追溯”为底线开展部署。 对策——以“最小权限、主动防御、持续审计”建立闭环。 围绕风险点,安全专家提出六上操作要点: 第一,确保来源可信、升级可回退。坚持从官方渠道获取安装包并校验签名,避免使用不明镜像;升级前对关键数据与配置做快照或备份,升级后验证补丁生效并完成服务重启,防止“带病上线”。 第二,减少公网暴露,优先内网使用。将服务限制在局域网或受控网段,确需远程访问时采用专用通道并限定来源地址,配合强口令、证书或硬件密钥等多因素认证;定期开展端口与资产扫描,发现异常开放及时处置。 第三,账户权限“瘦身”,加强隔离运行。运行账户避免使用系统最高权限,仅授予完成任务所需的最小权限;对删除、外发、改配置等高风险动作设置二次确认或人工审批;建议结合容器或虚拟机部署,降低跨域影响面。 第四,严格管理第三方技能包。对扩展组件坚持“不轻信、不盲装、不越权”原则,避免直接执行来源不明脚本;安装前审阅代码与权限需求,建立白名单与签名校验机制,发现异常立即停用并反馈社区。 第五,防范钓鱼与浏览器侧劫持。强化人员安全意识,不随意点击陌生链接、不安装来路不明扩展;启用访问速率限制与关键行为告警,出现异常调用及时断开网络并轮换密钥。 第六,形成长效运维机制。开启细粒度日志记录并定期审计,结合终端防护与网络安全工具进行实时检测;对单位用户而言,应将官方安全公告与工信部漏洞信息共享平台提示纳入例行巡检,做到风险发现、处置、复盘闭环运行。 前景——在创新与安全之间建立“可持续的使用方式”。 开源工具的价值在于开放协作与快速迭代,但安全治理同样需要同步升级。业内人士认为,未来智能体产品将更强调权限可视化、行为可解释、组件可溯源,以及对高风险操作的默认约束;社区层面也有望通过更严格的组件上架审核、签名分发与安全评分机制,降低“技能包投毒”等供应链风险。对使用者而言,从“能用就行”转向“安全可控地用”,将成为普遍要求。
智能体带来的效率增量不应以安全为代价。面对功能更强、链路更长、生态更开放的新工具,真正可靠的安全并非依赖一次性更新,而是依靠制度化的最小权限、可审计的运维流程与可持续的风险治理。把安全责任落实到每一次安装、每一次配置、每一次调用,才能让技术红利在可控边界内释放得更稳、更久。