360发布国内首份OpenClaw安全部署指南：警惕智能体自主执行风险

事件背景

近期，开源AI智能体OpenClaw（被网友戏称为“赛博龙虾”）迅速走红。该工具整合通信软件与大语言模型，可在用户电脑上自主执行文件管理、邮件收发、数据处理等复杂任务。随着多地政府出台扶持政策，其部署热度持续攀升，但也引发了新的安全挑战。

核心风险警示

• 官方预警：工业和信息化部网络安全威胁和漏洞信息共享平台已发布相关安全预警。中国信息通信研究院副院长魏亮指出，即使升级到官方最新版本修复已知漏洞，由于智能体具有自主决策、调用系统资源及技能包来源复杂等特点，若缺乏有效防护，仍可能引发数据泄露或系统被控制。
• 权限风险：国家互联网应急中心于3月10日发布风险提示，指出OpenClaw运行通常需要较高系统权限（如访问本地文件系统、读取环境变量、调用外部API等）。若默认配置缺乏限制，攻击者利用漏洞突破防护后，可能获得系统完全控制权。
• 供应链与诱导风险：全国政协委员、360集团创始人周鸿祎指出，OpenClaw支持通过外部“技能包（Skill）”扩展能力，但部分技能来源复杂且缺乏审核，存在植入恶意代码风险。此外，若缺乏管控，智能体随意与外部交互可能导致用户密码、API密钥等敏感信息被诱导泄露。

典型攻击场景

360在指南中总结了当前AI智能体部署面临的七类典型风险：

1. 公网管理接口暴露
2. API Key等身份凭证泄露
3. 底层Shell工具调用越权
4. 提示词注入攻击（易被忽视但危害大）
5. 记忆模块被恶意投毒
6. 第三方技能插件供应链风险
7. 多智能体协同失控

其中，提示词注入和插件供应链攻击被认为是最容易被忽视的新型攻击方式，一旦被利用，攻击者可诱导智能体执行非预期指令甚至长期操控其行为。

安全部署建议

360提出“先可控、再提效”的原则，针对不同场景给出具体方案：

1. 个人开发者与小型团队

• 环境隔离：避免直接在本机高权限运行，建议通过容器化技术构建隔离环境。
• 最小权限：结合最小权限策略，实施密钥加密注入。
• 防篡改：对关键配置文件进行防篡改保护。

2. 政企级多智能体协同应用

• 零信任架构：在系统边界部署安全网关，统一控制智能体出入流量并实施数据防泄漏检测。
• 权限分离：建立多租户与RBAC细粒度权限管理机制，实现管理员、安全审计员、工具开发者和业务操作人员之间的权限分离。
• 行为监控：将智能体关键操作日志接入企业安全运营平台，通过行为基线分析及时识别异常操作，实现对高风险行为的实时预警与拦截。

行业观点

业内专家认为，以OpenClaw为代表的AI智能体有望深刻改变各行业生产方式，但安全能力必须同步建设。只有在部署初期建立完善的安全机制，才能避免规模化应用后付出更高的风险成本。