當前,OpenClaw(“龍蝦”)智能體正以迅猛之勢重塑生產力,但隨之而來的安全事故頻發,如終端失控、數據泄露等,暴露出廣大政企機構在擁抱AI時“想用不敢用”的普遍困境。3月16日,奇安信集團董事長齊向東在奇安信龍蝦安全產品發布會上直言,當前傳統的安全管理手段已滯後於技術發展,普遍存在“看不清、管不住、防不住漏、護不住底”四大能力缺失,構建匹配AI時代的新防護體系勢在必行。
“AI的發展絕不能以犧牲安全為代價。”齊向東表示,奇安信正式發布《政企版龍蝦安全使用指南》和“龍蝦安全伴侶”,旨在通過“端-網-雲”三層聯動防護體系,為用戶提供“無感防護”體驗。該方案不僅幫助用戶透視智能體行為,更以低門檻的部署方式,切實解決政企“有想法、沒思路”的痛點,讓每一隻“龍蝦”都能在安全可控的環境中釋放效能,助力政企無憂創新。
奇安信X實驗室技術負責人柯強在解讀《OpenClaw生態威脅分析報告》(以下簡稱《報告》)時表示,OpenClaw生態中的“Skills”(技能模塊)正呈現驚人的裂變式增長態勢。數據顯示,全球四大主流平台上的Skills總量已逼近75萬個大關,且每天新增數量高達2.1萬個,日均增長率維持在2%-3%的高位區間,按照此趨勢,僅需一年時間Skills總量將突破800萬。如此高速的生態擴張,若缺乏有效的安全管控機制,必將導致安全風險在短時間內走向失控。
在漏洞暴露方面,《報告》顯示,全球範圍已發現20471個OpenClaw實例可能存在安全漏洞,覆蓋13643個IP地址,接近9%暴露在互聯網的OpenClaw資產存在漏洞風險。這些漏洞若被攻擊者利用,極易引發信息泄露、系統被控等嚴重後果。
《報告》還披露了OpenClaw生態的地理分布圖譜。從全球範圍看,美國和中國分別位居第一和第二。聚焦國內,北京、上海、廣東、中國香港、浙江等經濟發達省市憑藉雄厚的數字經濟基礎和活躍的創新環境,成為國內“養蝦潮”的核心高地。
《報告》還對Skills安全風險進行了深入剖析,當前受OpenClaw火爆影響,Skills供應鏈投毒活躍:惡意Skills通過提示詞注入、遠程代碼執行、數據竊取、社會工程學等多種手段對用戶構成威脅。為此,奇安信正式推出開放式SKILL安全性鑒定平台——SAFESKILL平台。該平台支持多源實時監測,可實時監測全球主流社區與市場,通過深度掃描及多維風險識別,為用戶提供全鏈路安全加固,確保Agent在生產環境中穩健運行,為可信AI Skill建立安全基石。
針對企業如何安全地部署和使用OpenClaw智能體,奇安信集團副總裁張庭表示,企業在引入AI智能體時,面臨的已不再是單一的模型漏洞挑戰,而是覆蓋插件生態、數據空間、會話交互到終端協同的“九大安全面”。攻擊速度已從過去的“天級”縮短至“分鐘級”,傳統被動、靜態的防禦思路在智能體面前已全面失效。
張庭表示,“部署模式決定安全底線”,而“私有化部署”是企業落地的最佳答案。將OpenClaw直接安裝在員工PC或筆記本等個人終端上,屬於極高風險的“裸奔”行為,極易引發核心數據泄露、合規違規及內網滲透等五大致命風險,在生產環境中應該被禁止。同時,公有雲部署存在數據主權旁落和第三方不可控隱患。“唯有通過私有化、集中化部署,才能將智能體運行在真正可控的服務器端。”張庭說。
“‘想用不敢用’是當前企業面對OpenClaw智能體時普遍存在的核心痛點。”奇安信人工智能公司CEO龔玉山表示,企業渴望藉助智能體提升效率、創新業務,卻又對其潛在的安全風險心存忌憚,擔心失控、泄密或被濫用,導致大量應用場景止步於試點,無法規模化落地。
龔玉山介紹,企業在部署和使用OpenClaw時普遍面臨四大能力缺失:“看不清”,資產不可見,不知有多少實例在運行、裝了哪些Skills;“管不住”,包括行為失控,高危操作無審批無攔截;“防不住漏”,即內容黑盒,缺乏Prompt/Response深度審計等、“護不住底”,指基礎設施裸奔,缺乏針對性防護。這種狀態如同“給實習生Root權限”且“快遞不安檢”,風險極高。
為此,奇安信推出“龍蝦安全伴侶”,通過“端-網-雲”三層聯動防護體系,賦予企業三大核心價值——“看得清”“管得住”“用得好”。
龔玉山表示,“奇安龍蝦安全伴侶”是奇安信深耕AI安全領域的最新成果,它不僅僅是一個工具,更是企業擁抱智能體時代的“安全通行證”。未來,奇安信將持續投入研發,不斷完善產品功能,攜手合作夥伴共同構建開放、安全、繁榮的OpenClaw生態。