人手一個"龍蝦"的時代，誰來管住失控的AI？

OpenClaw（又稱"龍蝦"）在技術社區快速走紅后，隨之而來的安全焦慮正在全面蔓延。作為一款開源AI智能體（AI Agent）框架，OpenClaw的核心目標是讓用戶擁有一個可以執行任務的私人AI助手——

它的圖標是紅色龍蝦，但它的"鉗子"已經伸向了系統級權限、企業數據和供應鏈環節。

過去一年里，OpenClaw在技術社區快速走紅，成為最熱門的開源AI智能體框架之一。但安全討論的熱度幾乎同步攀升。

風險的根源在于，AI Agent不再是被動回答問題的"聊天機器人"，而是能自主調用工具、訪問資源、執行復雜任務的"數字員工"。

從事iOA產品運營多年的行業專家劉登峰直言："本質上，這樣的AI Agent是一個不會疲倦、會自動化執行的超級用戶，如果它在終端上安裝，被攻破了，就相當于攻擊者完全獲得了這個終端的電腦權限，由此以來，就可以進行下一步的橫向滲透，擴散到企業的全部網絡終端或服務器，同時也具備非常高的數據外泄風險。"

AI Agent的出現，不僅帶來了新的攻擊面，更從根本上動搖了傳統安全防護體系的底層邏輯。

說白了，"過去我們盯的是用戶是誰，現在我們可能還要盯AI Agent在替誰行動，它具備什么樣的能力，它執行的動作有沒有偏離它的原始意圖。"劉登峰表示。

其次，安全建設的重心也發生了根本轉移：過去，安全的職責是防入侵，現在除了防入侵以外，還要防越權使用。因為在Agent時代，很多風險不再是過去所認知的“黑進來了”，它是屬于本來就允許它在內網用這個Agent，本來就有授權，但是它授權過多，導致它的邊界不清楚或者失控。

防護對象從設備轉向了數據。過去是保設備，現在是重點保數據。即使一個設備本身沒有被攻擊者直接明顯的攻破，但是數據是有可能在正常的業務流程中被帶出去的。

這種轉變在個人端同樣顯著。PC端的權限天然比移動端開放得多。Windows先天設計就會有一些機制允許通過底層上的技術，比如通過寫一段代碼就能夠調用系統上的某個文檔或者操作一些系統級的能力。

移動端更偏向于輸入，在手機上遙控龍蝦在電腦上干活，在電腦上可能要操作文檔，訪問網絡和電腦上其他的內容，所以有操作，這個風險會更大。

Skill供應鏈：被忽視的新攻擊面

如果說權限失控是"明面上的風險"，那么Skill插件的供應鏈投毒就是更隱蔽的"暗雷"。

OpenClaw的核心能力拓展依賴Skill插件：要處理PDF就裝PDF轉換插件，要查天氣就裝天氣查詢插件，要對接企業系統就裝對應的業務插件。但這些插件大部分來自第三方開發者，安全審核機制尚不完善。

站在用戶角度，因為想更好地使用OpenClaw，需要完整、高效的工具說明，也就是Skill插件。在這個過程中，因為被攻擊者盯上了，它可以把一個惡意文件偽裝正常Skill，比如PDF轉換、天氣查詢。對于普通用戶而言，甚至對于企業級員工而言，很難自行去辨別這里是否有問題。

更棘手的是，這類攻擊繞過了傳統的檢測手段。騰訊云安全副總經理、AI Agent 安全中心負責人謝奕智也對筆者指出："Skills的安全性，因為它里面有提示詞、腳本，傳統的基于規則特征檢測的能力很難應對。不過，目前，各家安全廠商針對Skill的安全檢測是在持續迭代的。”

面對AI Agent，企業的態度正在快速分化。

劉登峰透露，咨詢客戶覆蓋了金融、能源、運營商、企業、零售等多個行業，但需求差異明顯："金融行業有明確訴求，就是要禁用的。偏互聯網的中型客戶，他們更想快速溝通企業級的安全沙箱方案。很多用戶一方面是在聊更精細化的場景怎么管，另外一方面就是聊能不能直接給他上沙箱，上了沙箱之后他可以根據沙箱跑一段時間、運行一段時間，再判斷對于企業來說哪些場景是允許用的，哪些場景是不允許用的。"

值得注意的是，安全預算的來源也發生了結構性變化："目前我們看到更多是業務部門，因為首先它是業務發動出來的需求。用戶對安全的認知是比較成熟的，覺得OpenClaw這個東西天生就是有安全風險，所以我在購買一個企業版的OpenClaw的時候，我希望把安全也帶上，是基于這樣一個流程，和過去有點不同。"

安全的終局：不是對立，而是無感

很多人擔心，安全防護會犧牲AI Agent的使用體驗。但這本質上是一個偽命題：安全本身也可以是一種用戶體驗。安全無處不在，但是你卻感受不到它的存在。在未來伴隨著OpenClaw的發展，大家應該會慢慢習慣用它來解決這些問題，有些邊界會默認被關閉。

而AI本身正在成為最好的安全工具。謝奕智透露，針對Skill安全中傳統規則檢測難以應對的提示詞和腳本風險，"有專門的實驗室同學在做研究，而且相關的能力已經集成到我們的云端安全產品跟C端的安全產品"。"AI治理AI"正在從概念走向落地。

在大家關心的token消耗問題上，謝奕智的判斷是："token單價肯定是往下走的，因為它未來如果成為像水電一樣的話，有很好的普及，有一定的規模，價格一定是往下走的。"

這意味著AI Agent的使用成本將持續降低，普及速度會加快，安全防護的需求也會越來越迫切——一場圍繞AI Agent安全的長跑才剛剛開始。

實用建議：給"養蝦"人士的安全指南

針對企業業務使用者

權限最小化原則：給AI Agent分配權限時，只開放必要的系統訪問、數據讀取和操作權限。盡量不要涉及寫權限的工作，如果不需要，就給它只讀的密鑰權限。

做好網絡隔離：如果龍蝦有很固定的訪問目標去完成它的工作，網絡做好隔離，不要讓它有權限去訪問一些不該訪問的內網服務。

先測試再上線：新部署的Agent先在隔離測試環境運行驗證，確認所有操作行為符合預期，再逐步接入生產環境。

建立全流程審計機制：對Agent的所有操作留痕，包括輸入的Prompt、調用的插件、執行的動作、訪問的數據，定期做安全審計，異常行為實時告警。

插件準入審核：不要隨意使用第三方開源Skill插件，所有接入企業系統的插件必須經過安全檢測，建議優先使用官方提供或經過安全廠商認證的插件。

定期備份核心數據：預設Agent異常操作的攔截機制，一旦出現失控能快速止損，避免造成不可逆損失。

針對AI愛好者和個人用戶

不要開放不必要的權限：安裝OpenClaw時仔細審查權限申請，不要直接同意所有請求，尤其是文件讀寫、支付接口、攝像頭麥克風等敏感權限。

優先使用帶安全沙箱的方案：在本地部署時，優先使用帶AI安全沙箱的防護工具，把Agent的運行環境和真實系統隔離開。如果不熟悉OpenClaw的復雜安裝流程，可以考慮開箱即用的方案。

謹慎安裝第三方插件：不要下載不明來源的Skill插件，盡量從官方渠道獲取，安裝前做安全掃描檢測。

不要用Agent處理敏感信息：盡量避免用本地Agent處理身份證、銀行卡、工作機密等敏感信息，防止數據泄露。

做好數據備份：假設龍蝦很不靠譜，但是又很想用，怎么辦呢？可以買一臺PC，做好網絡隔離，做數據的定期備份，這樣就可以很靈活的去用龍蝦所有的能力。如果系統壞了，備份能力自動加上，也不擔心數據問題。（本文首發鈦媒體APP，文 | DeepWrite秦報局，作者｜秦聰慧 ）