近期,开源AI智能体“龙虾”(OpenClaw)凭借自动化任务流能力在国内产业界迅速走红。
然而其很快暴露出的安全边界模糊等隐患,又为新应用蒙上一层风险阴影。
今年2月以来,中国信息通信研究院(以下简称“中国信...
今年2月以来,中国信息通信研究院(以下简称“中国信通院”)多次发布关于防范OpenClaw开源AI智能体安全风险的预警提示。
工业和信息化部网络安全威胁和漏洞信息共享平台(NV...
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)将安全使用建议归纳为“六要六不要”,包括要定期自查是否存在互联网暴露情况、不要将“龙虾”智能体实例暴露到互联网等。
如何看待伴随OpenClaw等新型智能体出现的网络新型风险?
产业界的合规底线是什么?
企业如何建立技能供应链安全审核机制?
“龙虾热”对我国AI智能体开源生态带来哪些启示?
澎湃新闻记者近日专访了中国信通院副院长魏亮。
魏亮在接受澎湃新闻记者采访时指出,和传统开源软件和...
魏亮在接受澎湃新闻记者采访时指出,和传统开源软件和普通AI工具相比,OpenClaw存在极强的高风险性和不确定性,且处在产品快速迭代、生态爆发式扩张的发展期,呈现出高速发展与安全风险严重失衡的突出矛盾。
他介绍,目前国内外出现了因OpenClaw使用不当...
他介绍,目前国内外出现了因OpenClaw使用不当导致的安全事件,不仅造成用户数据被误删除、敏感信息遭泄露、企业办公网瘫痪的后果,甚至部分OpenClaw资产被黑客攻击成功后变为僵尸木马主机,对外发起攻击。
他认为,国内AI智能体开源生态要从坚持安全与开放并...
他认为,国内AI智能体开源生态要从坚持安全与开放并重、统筹新技术发展和安全、构建全生态治理机制三方面来建设。
鼓励开展AI框架、模型、技能研发应用,完善安全技术标准,降低对单一开源项目的依赖,提升供应链韧性。
完善开源社区、开发者、安全机构间互动和协同机制,形成安全治理良性循环。
澎湃新闻:中国信通院近期已经对OpenClaw发出安全提示。
请问,它和传统开源软件、普通AI工具的安全风险有哪些关键区别?
魏亮:传统开源软件和普通AI工具的功能相对明确单一...
魏亮:传统开源软件和普通AI工具的功能相对明确单一,在安全方面有比较成熟的方法论,权限清晰、依赖关系简单,所以安全风险是相对固定和有边界的,也有比较标准的修复策略。
而OpenClaw作为一个集成了高权限、自主决策、...
而OpenClaw作为一个集成了高权限、自主决策、开放指令的综合体,本身存在极强的高风险性和不确定性,且处在产品快速迭代、生态爆发式扩张的发展期,呈现出高速发展与安全风险严重失衡的突出矛盾。
总的来说,OpenClaw有四个比较典型的特征,第...
总的来说,OpenClaw有四个比较典型的特征,第一是风险性更高,因为OpenClaw要求有高权限,功能边界也不清晰,可能导致“全系统接管”和“持久化控制”,等同于系统平台、数据信息完全沦陷。
第二是隐蔽性更强,因为它具备自主决策和指令执行能力...
第二是隐蔽性更强,因为它具备自主决策和指令执行能力,安全风险从“显式操作” 转化为“静默接管”,极具隐蔽性,及时发现的难度也很大。
第三是扩散速度极快,相比传统开源软件,OpenCl...
第三是扩散速度极快,相比传统开源软件,OpenClaw外部接口多且默认信任,叠加自主决策执行能力,极易导致安全风险从被动触发变成主动扩散,且难以防护和拦截。
第四是可审计性不足,OpenClaw的特性是决策黑...
第四是可审计性不足,OpenClaw的特性是决策黑箱、行为自主,决策和执行日志也不够完整,而且可能被随时篡改,溯源难度较大。
澎湃新闻:目前国内是否出现因OpenClaw使用不当导致财产损失、数据泄露的案例?
中国信通院是否有监测到相关情况,能否具体介绍?
魏亮:我们必须清醒地看到,以OpenClaw为代表...
魏亮:我们必须清醒地看到,以OpenClaw为代表的新一代智能体技术,在创新模式并大幅提升生产效率的同时,也对现有网络安全防护体系和方式带来了挑战。
根据工业和信息化部网络安全威胁和漏洞信息共享平台的...
根据工业和信息化部网络安全威胁和漏洞信息共享平台的监测情况看,国内外确实出现了因OpenClaw使用不当导致的安全事件,不仅造成用户数据被误删除、敏感信息遭泄露、企业办公网瘫痪的后果,甚至部分OpenClaw资产被黑客攻击成功后变为僵尸木马主机,对外发起攻击。
我在这里介绍两类代表性的案例:
一是大模型密钥泄露引发资金损失。
有企业技术人员在部署OpenClaw后第三天,因管理不善泄露API密钥。
攻击者在获取密钥后,于凌晨频繁调用大模型接口,导致在用户不知情的情况下产生高额账单,造成经济损失。
二是使用包含恶意代码的技能导致系统失陷。
黑产团伙批量制作包含恶意代码的技能,并上传至Cla...
黑产团伙批量制作包含恶意代码的技能,并上传至ClawHub等技能市场,用户在使用这些技能时,系统会自动下载并执行其中的恶意代码,通过伪造弹窗诱骗用户输入本地账号密码,窃取系统权限。
澎湃新闻:关键信息基础设施运营者使用OpenClaw的安全红线与合规底线是什么?
魏亮:关键信息基础设施关乎国家安全、国计民生和公共...
魏亮:关键信息基础设施关乎国家安全、国计民生和公共利益,其运营者在引入OpenClaw等新技术新产品时,应更加严格和慎重,在短期内仍建议以研究测试为主,同时做好安全管理。
要严格落实《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等相关要求,保证安全保护措施与关键信息基础设施同步规划,同步建设,同步使用。
同时,特别要注意做好上线前的安全评估和试运行,使用中的网络安全风险监测、漏洞闭环管理和威胁处置等,建议结合本行业、本单位的实际情况,从以下几个方面加强安全管理。
一是要严守6个绝不。
在未通过试验和安全评估前,绝不在核心生产环境部署,绝不授予管理员权限,绝不链接公共互联网,绝不安装未知来源和高风险技能,绝不盲从指令与第三方代码,绝不输入或允许读取敏感数据。
二是要落实5个做到。
选择官方和商业产品,做到及时更新和数据备份;优先在虚拟机或沙箱运行,做到网络隔离;启用Token/密码和证书,做到强认证;选择官方可信技能,做到先审查后使用,高风险操作二次确认;开启详细日志,做到安全监控和定期审计,发现异常立即处置。
澎湃新闻:企业若引入OpenClaw做流程自动化,最小权限、隔离运行、审计留痕该如何落地?
魏亮:企业引入OpenClaw推进流程自动化,必须坚持以最小权限筑底线、以隔离运行控边界、以审计留痕强合规,真正做到安全与发展并行、效率与合规兼顾。
最小权限方面,要使用仅用于运行OpenClaw进程的普通权限账号,禁止与超级管理员和业务账号混用,可以根据具体业务场景配置独立权限,比如只读场景不开放写和删除权限,安装、删除和批量操作等高危指令增加二次审批。
在隔离运行方面,一个是运行环境隔离,建议使用虚拟机或容器化部署,避免对主机产生影响。
另一个是网络部署隔离,要在独立网络区域部署,不与核心业务系统互联,非必要情况下关闭互联网访问,或部署专用加密通道。
审计留痕方面,要开启全量日志,详细记录时间、命令、结果、状态码等全量信息,确保登出、权限变更、修改删除、凭证使用等关键操作留痕,有条件的可建独立日志审计系统,确保日志存储有效、可被审计、不被篡改。
同时我们也看到,目前国内不少企业已推出网络安全产品或技术方案,针对性解决OpenClaw部署和应用时的安全问题,为用户防范风险提供了有力支撑。
建议企事业单位和个人,结合自己的业务需求、技术能力和安全等级,合理选用安全防护产品和方案。
我们也想提醒大家,任何技术的引入都是一个权衡的过程,要在现有的网络安全管理框架下,尊重业务运行的客观事实,理性评估好技术便利性和安全代价之间的平衡,稳步推动OpenClaw的应用。
澎湃新闻:OpenClaw在应用中已出现“提示词注入”、“误操作"、技能插件(skills)投毒、安全漏洞等风险。
企业该如何建立技能供应链安全审核机制?
建议政府层面采取哪些助企措施?
魏亮:技能插件也称技能,是OpenClaw实现具体功能、拓展能力边界、提升实用价值的核心组件,容易引发供应链投毒和安全漏洞。
类似手机APP,早期手机APP市场也曾面临恶意软件、违规收集信息等问题,经过多年的技术升级、平台管控和监管引导,已建立严格的应用商店审核机制,形成安全、可信的手机应用生态。
OpenClaw技能的安全治理也需要这样一个过程,在此也提醒广大用户,要充分平衡使用的便利性和安全性,不安装来源不明的技能,做好针对性的安全方案和应急预案,切实防范技能供应链带来的安全风险。
具体来看,在技能引入和使用环节,一是要加强源头管控,优先选择来源可信、信誉度高的技能,禁用第三方镜像、论坛链接与个人分享包,禁止加载使用未签名或签名无效技能。
二是做好安全检测,在部署前要通过审查代码或使用Skill Scanner等工具做好安全检测,不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能。
三是做好持续优化,定期审计在用技能版本和风险情况,做到及时更新,发现风险立即禁用或修复,及时清理冗余或过期技能。
为了保护用户的网络安全权益,促进产业健康有序发展,我们建议,可结合OpenClaw技术发展实际情况,加强标准引领,跟踪技术发展演进,明确安全规范,制定细化技能技术要求、合规标准和管理规范,引导企业合规建设、规范应用,助力AI高质量发展。
另外,还要加强技术供给,鼓励引导企业开发安全审计工具,提供一键检测能力,支持开展面向技能安全的技术培训、攻防演练等,提升技能安全应用能力。
壮大安全产业,通过政策引导、资源支持,推动整个AI安全产业协同发展,培育催生出专注于AI供应链治理、大模型风控、智能体行为审计的新兴安全市场,为数字经济的繁荣提供坚实的安全底座。
澎湃新闻:用户或者厂商发现OpenClaw漏洞或攻击事件,上报渠道、处置流程是怎样的?
魏亮:根据《网络产品安全漏洞管理规定》,厂商在发现自研相关产品存在安全漏洞时,要及时向工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)报告漏洞及修补情况,做好用户通知,并提供必要的技术支持。
用户和安全研究机构在发现相关安全漏洞后,可及时向网络产品提供者(开源社区)通报,由网络产品提供者进行验证和修补,也可向工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)报告,NVDB在确认漏洞后通知相关网络产品提供者,并督促其完成处置,也会视漏洞危害情况发布安全预警。
针对攻击事件,网络运营者、社会组织和个人在发现相关网络安全事件时,可按照《国家网络安全事件报告管理办法》《公共互联网网络安全威胁监测与处置办法》以及本行业领域的相关规定进行报告和处置。
澎湃新闻:OpenClaw的安全风波,对国内AI智能体开源生态带来哪些启示?
魏亮:近期OpenClaw的突出安全问题聚焦在权限失控、技能投毒、提示词注入和远程接管,从根源看,是由于安全设计缺陷、部署运维粗放、生态治理缺位等问题叠加导致。
对于国内AI智能体开源生态建设来讲,建议要从三方面予以加强:一是安全与开放并重。
从开源社区源头加强管控,强化开发者认证、准入审核和安全检测,建立安全可信白名单,杜绝恶意投毒与后门植入。
二是新技术要统筹发展和安全。
推动开源社区加强开发者安全意识培养,将最小权限、隔离运行、审计留痕等作为安全性保障的基本要求,避免事后补漏。
三是构建全生态治理机制。
鼓励开展AI框架、模型、技能研发应用,完善安全技术标准,降低对单一开源项目的依赖,提升供应链韧性。
完善开源社区、开发者、安全机构间互动和协同机制,形成安全治理良性循环。
澎湃新闻:针对OpenClaw暴露的权限失控、数据泄露、技能插件投毒等安全隐患,中国信通院在国产Al智能体生态建设方面有哪些规划?
魏亮:智能体作为大模型应用的主要形态,加速人工智能从感知认知向决策执行演进,但仍暴露出诸多安全风险。
中国信通院聚焦人工智能产业高质量发展需求,积极推进智能体标准研制、评估测试与生态建设,推动我国人工智能产业自主创新、筑牢产业安全底座。
一是构建完善的智能体标准与基准测试体系。
一方面,围绕基础支撑、通用场景、行业应用形成智能体标准体系,已完成10余项标准研制,为国产智能体产品研发提供基本遵循。
另一方面,构建“方升”智能体基准测试体系,聚焦智能体通用能力、通用任务、典型应用场景,体系化评估智能体能力,促进国产智能体产品持续优化。
二是加强智能体核心技术攻关。
聚焦智能体互联协作技术,加速智能体通信协议国产化;推动国内智能体开发平台与工具落地应用,降低智能体开发门槛。
三是搭建国内智能体产业协同生态平台。
依托中国人工智能产业发展联盟成立智能体创新与应用工作组,推动产学研用深度融合,提供智能体供需对接平台,鼓励企业参与国产智能体研发与应用试点。
: