今年两会期间,“龙虾”热席卷全国,以openclaw为代表的智能体安全问题,成为公众关注的焦点。
全国人大代表、中海油海南分公司深海工程研究中心首席工程师雷亚飞是一位资深的智能体使用者,对此深有体会。巧合的是,今年两会他带来的建议正巧是关注智能体安全问题,无意间踩中了当下的热点。
他告诉南方周末记者,人工智能正在从“辅助决策”走向“自主操控”,智能体的安全问题已经刻不容缓。对此,南方周末记者就智能体安全问题专访了雷亚飞。
全国人大代表、中海油海南分公司深海工程研究中心首席工程师雷亚飞。受访者供图
南方周末:你如何看待当下的智能体热潮?行业目前发展有哪些特点?
雷亚飞:2025年以来,以ai编程助手、ai办公助手、ai手机助手为代表的智能体快速兴起,ai不再局限于回答问题,而是直接在用户的电脑和手机上执行操作,从读写文件、发送消息、控制浏览器到跨应用调度。
国内外主要ai厂商已发布数十款此类产品,覆盖编程、办公、通信、金融等场景,用户规模快速扩张。
与此同时,智能体的操控深度正在从应用层下沉到操作系统层。电脑端,部分智能体已默认获得与用户等同的完整系统权限,可执行任意命令、读写全部文件;手机端,部分产品通过与设备厂商合作获取系统级权限,以截取屏幕画面并模拟用户操作的方式实现跨应用调度。
随着大模型能力的持续提升和ai应用的普及,智能体的操控范围和用户规模仍在快速扩大,ai正在触及用户数字生活的底层基础设施,亟须构筑安全可靠的治理体系,为产业健康持续发展打好坚实基础。
南方周末:为什么当下安全问题已经刻不容缓?
雷亚飞:智能体正在从低权限向高权限加速演进,但安全建设却远未跟上。当前智能体产品的权限深度差异极大,从仅观察屏幕到获得操作系统级特殊权限,操控能力和风险等级截然不同,低权限产品的漏洞影响通常局限于某个应用,而高权限产品的一个漏洞就可能波及用户整台设备的全部文件、应用和账号。然而行业和监管尚未建立与权限深度相匹配的管理框架,具体表现在:
一是权限授予缺乏分级标准,多数产品采用一次性概括授权,用户在缺乏充分告知的情况下即授予ai广泛权限,不同权限层级的风险差距悬殊,欠缺差异化管理机制。
二是安全检测与应急响应滞后,智能体迭代极快,可在数日内获得海量用户,但缺乏常态化安全检测和应急预案,近期多起安全事件中漏洞在被广泛利用后才被发现。
三是持续性数据采集对现有隐私保护机制造成冲击,尤其是手机端智能体采用gui屏幕模拟路线的产品需不间断截取屏幕画面上传云端分析,实质上构成全面监控,传统“知情同意”机制近乎失效。
四是未经授权的跨应用操控伤害产业生态,部分智能体绕过应用自身接口直接操控,开发者的用户关系和数据资产面临被架空风险,各方责任缺乏清晰界定,产业各方陷入对抗而非协作的局面。
南方周末:对于建立智能体的安全治理体系,你有什么样具体的建议?
雷亚飞:建议中央网信办及工业和信息化部,按照智能体对终端设备的操控深度,系统构建分级安全治理体系:
(一)l1层级(沙盒受限):加强安全机制审查。此层级ai具备操控能力但限定在特定应用或文件夹内,如ai编程助手在编辑器内工作、ai办公助手在隔离环境中处理文档,操控范围可控。建议重点审查权限最小化设计、凭证存储安全、插件市场审核机制,鼓励沙盒隔离等安全设计,将此层级确立为行业推荐的默认安全基线。
(二)l2层级(用户完整权限):建立安全评估监测体系。此层级ai获得与用户等同的系统权限,可执行任意命令、读写全部文件,相当于全权代理用户操作电脑,近期多起安全事件均发生在此层级。建议建立持续监测机制,对高风险产品及时发布预警;执行支付、通信、账号等敏感操作时,应当确保与此类服务的提供方已建立安全可靠的协作机制,保留完整操作日志,ai操作可验证可审计,建立安全屏障;对快速增长的开源智能体项目建立阈值触发的主动安全审查机制。
(三)l3层级(系统级权限):强化安全监管,防范权限滥用。此层级ai获得操作系统特殊权限,可跨越应用隔离边界注入操作,风险最高。建议将此层级作为监管重点,实施严格的安全监管:一是对采用gui屏幕模拟路线的产品持谨慎原则,严格履行最小必要原则,限定gui适用范围,实施敏感信息过滤机制,赋予用户查看数据清单和随时撤回授权的权利;二是明确“双重授权”原则,跨应用操控须同时获得用户授权和应用运营方授权,鼓励通过协议路线实现安全可控的跨应用协同,推动标准化智能体互操作协议的制定;三是明确ai厂商、设备厂商、应用平台各自安全边界,填补责任真空。
最后我想提示一下,当前人工智能发展仍处于初级阶段,尚未脱离人的控制实现自我迭代,智能体的智慧也尚未超越人类。现阶段出现的问题,更多像一个不听话的孩子对成年人的挑战。因此,以上对人工智能开发中智能体的安全防护建议,主要是针对初级发展阶段而言的。
然而,随着人工智能高速发展,其自我迭代能力和智慧水平必然实现对人类的超越。到那时,单纯依靠法律约束和技术层面的控制性防御,将难以有效应对。我们需要未雨绸缪,提前布局更深层次的应对之道:在人工智能的“源代码”层面注入“善”的基因,使其在演进过程中逐步与中华民族“人性本善”的核心价值深度融合,确保最终形成向善的人工智能体。
这种“善”的注入,应当体现为:尊重生命、促进和谐、服务人类共同福祉。唯有如此,当人工智能超越人类智慧之时,才能确保其始终与人类的价值追求同向而行,成为推动文明进步的正向力量,而非威胁人类生存的异化存在。这是面向未来的根本之策,也是我们这一代人必须肩负的历史责任。
南方周末记者 罗欢欢
责编 顾策
