上海交通大学计算机学院(网络空间安全学院)副教授王...
上海交通大学计算机学院(网络空间安全学院)副教授王烁带领的LoCCS 实验室团队推出了面向B端企业安心版本的OpenClaw
企业装“虾”,最怕的是安全问题
在王烁看来,过去几年,大模型驱动的内容智能已经深刻...
在王烁看来,过去几年,大模型驱动的内容智能已经深刻改变了内容创作、搜索推荐、文档分析等工作方式,但整体上仍停留在“反应式 AI”阶段——模型可以写出一份几乎完美的脚本,却无法真正自主按下回车键。
“这就像一个坐在副驾驶上的顾问,只能提出建议,却碰不到方向盘。
”王烁说,“而现在,AI 代理正在向‘主动式 AI’演进。
它直接坐在工位上,握着鼠标和键盘,拥有系统级权限,能够接管绝大多数数字化操作。
”
但OpenClaw 目前还被不少企业视为“高能力与高风险并存”的工具。
王烁表示,当前企业使用 OpenClaw 的最大的顾虑就是安全问题。
“它开放了较多接口和调用通道,这意味着外部工具、插...
“它开放了较多接口和调用通道,这意味着外部工具、插件乃至本地文件系统都可能被接入;它又具备较高权限,能够删除、转发文件,甚至触达更敏感的数字资产。
”
在他看来,OpenClaw 当前面临的核心风险主要包括三类:其一,间接提示词注入。
攻击者无需直接攻击用户,只需在网页、插件或外部内容...
攻击者无需直接攻击用户,只需在网页、插件或外部内容中植入肉眼不可见的恶意指令,就可能诱导 AI 窃取私钥文件、敏感文档等信息;其二,模型幻觉。
原本用于“清理临时文件”的正常指令,可能在误判之下...
原本用于“清理临时文件”的正常指令,可能在误判之下演变为破坏性操作;其三,默认端口暴露与安全配置缺失。
尤其在云端部署场景下,如果接口和权限边界管理不当,就相当于“把保险柜搬到大街上,还插着钥匙”。
不做“花瓶式”防护 把 OpenClaw 变成“省油版”落地
针对 OpenClaw 的系统性安全风险,王烁团队...
针对 OpenClaw 的系统性安全风险,王烁团队认为,不能用简单粗暴的“一刀切”方式禁用权限,也不能把安全完全寄托于模型“自觉”。
如果防护机制只停留在表面,最终只会变成“花瓶式”安...
如果防护机制只停留在表面,最终只会变成“花瓶式”安全:看起来合规,实际上既挡不住风险,也拖慢执行效率。
对此,团队提出的改造思路是:第一,尽量把安全边界前...
对此,团队提出的改造思路是:第一,尽量把安全边界前置,避免把关键判断全部交给模型;第二,让复杂能力默认不常驻,减少上下文膨胀带来的误判;第三,关键结论必须具备证据链,避免产品“看起来会做”,但结果无法复核。
基于这一思路,王烁团队为 OpenClaw 设计了多层加固方案。
首先,是建立更清晰的“自我认知”机制,使系统能够区...
首先,是建立更清晰的“自我认知”机制,使系统能够区分用户真实指令与外部环境中的潜在恶意指令,从而提升对提示词注入攻击的抵御能力,避免盲目执行被污染的命令。
其次,是对可调用的 API 与功能模块进行认证和分...
其次,是对可调用的 API 与功能模块进行认证和分级,明确哪些指令属于可信调用,哪些操作属于高风险范围;对于高风险任务,则要求前置审批、隔离执行,或在受控环境中完成。
最后,是引入全流程复盘与审计机制,安排“审计员”持续跟踪每一个敏感操作。
从处理的数据、执行的动作,到生成的结果、可能带来的...
从处理的数据、执行的动作,到生成的结果、可能带来的风险,系统都会形成完整审计链条;一旦审计不通过,任务流程将被立即中止。
在王烁看来,这套方案的核心,不是简单“减少能力”,...
在王烁看来,这套方案的核心,不是简单“减少能力”,而是把复杂度留在系统内部,把最小必要信息留给模型,在提升安全覆盖面的同时,提高执行确定性和结果可信度。
除了安全加固,团队还推进“大小模型协同”的调度机制...
除了安全加固,团队还推进“大小模型协同”的调度机制,根据任务复杂度动态分配模型资源:简单任务由轻量级模型处理,复杂任务再调用大模型;同时,针对具体任务对大模型进行“瘦身”,裁剪掉冗余能力,只保留完成任务所必需的功能。
“我们现在用 OpenClaw 去完成一个很简单的任务,可能一个月就要花掉几千块。
对初创团队和中小企业来说,这样的成本并不轻。
”王烁表示,团队希望通过按需调用、模型裁剪和任务定...
”王烁表示,团队希望通过按需调用、模型裁剪和任务定制,把它做成一个更适合落地的“省油版 OpenClaw”。
在他看来,真正阻碍 OpenClaw 企业落地的,...
在他看来,真正阻碍 OpenClaw 企业落地的,不只是“能不能用”,而是“能不能安全地用、低成本地用、持续地用”。
从“最后一公里”到“最后100米”
王烁认为,如果 OpenClaw 的出现,打通了 Agent 创业和落地的“最后一公里”,那么当下行业要解决的,实际上是更现实的“最后100米问题”:它到底能不能把工作干好,能不能在真实业务中稳定交付结果。
围绕这一点,王烁表示,团队接下来将重点攻克三个方向。
一是测评驱动。
先对 OpenClaw 进行全面测评,明确其能力边界、风险边界和可优化空间;
二是能力提升。
针对 OpenClaw 做不好的任务,分析问题究竟出在理解、规划、执行还是工具调用环节,并通过定向构建高质量数据进行补强;
三是持续优化。
让 OpenClaw 在使用中不断学习、反思、迭代,实现边用边改、边跑边进化。
“以前互联网时代创业,要找开发、烧钱、烧人、烧时间。
”王烁说,借助 OpenClaw 这类工具,一个想法加上一轮验证,短时间内就可能搭出一个相当完整的前端,后端流程也能快速对接,创业门槛正在被大幅压低。
在他看来,企业利润的来源也可能随之发生变化。
过去,软件公司的收入更多来自订阅费;未来,部分产品的商业模式可能转向“API 调用费 × 调用次数”。
这意味着,软件业的底层逻辑正在被重新改写。
不过,王烁也强调,OpenClaw 所代表的生产力变革并不意味着“单兵作战”。
对于今天的创业者来说,首先仍需要供应链支撑,包括开源平台、硬件基础设施、垂直领域模型和算力资源;其次,还需要找到明确的场景匹配,用 OpenClaw 去解决具体问题,形成可复制的微生态;再往后,则是不同 AI 代理企业之间的协同,共同完成更复杂的工作流。
“这本质上是一场生产力组织方式的变化。
”王烁表示,当越来越多共性需求可以被拆分、共享和协作完成,算力可以共享,数据可以合作,订单也可以分包与众包,行业就会从过去的供应链协同,逐步迈向更大的生态协同。
: