近期，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）發(fā)布OpenClaw（曾用名Clawdbot、Moltbot）開源智能體安全風(fēng)險(xiǎn)預(yù)警和“六要六不要”建議，提示該產(chǎn)品存在多項(xiàng)高等級安全隱患，可能對用戶造成不利影響，要在部署和應(yīng)用時(shí)強(qiáng)化安全防護(hù)措施。中國人工智能產(chǎn)業(yè)發(fā)展聯(lián)盟作為人工智能產(chǎn)業(yè)協(xié)作服務(wù)平臺，始終以守護(hù)成員單位合規(guī)經(jīng)營、推動人工智能產(chǎn)業(yè)安全健康發(fā)展為目標(biāo)。為幫助各成員單位精準(zhǔn)識別風(fēng)險(xiǎn)、有效防范隱患，避免因應(yīng)用不當(dāng)造成損失，特發(fā)布安全提示。

一、安全風(fēng)險(xiǎn)提示

一是提示詞注入與指令劫持風(fēng)險(xiǎn)。該智能體具備持續(xù)自主運(yùn)行、多模態(tài)內(nèi)容讀取、跨平臺指令執(zhí)行能力，攻擊者可通過文檔、網(wǎng)頁、交互內(nèi)容植入惡意提示詞，繞過安全管控機(jī)制實(shí)現(xiàn)指令劫持，誘導(dǎo)其未經(jīng)授權(quán)執(zhí)行數(shù)據(jù)竊取、權(quán)限篡改、惡意代碼執(zhí)行等操作，極易引發(fā)關(guān)鍵敏感數(shù)據(jù)、核心知識產(chǎn)權(quán)、系統(tǒng)訪問憑證泄露，以及將主機(jī)變成僵尸網(wǎng)絡(luò)節(jié)點(diǎn)等安全事件。

二是自主決策偏差與不可逆操作風(fēng)險(xiǎn)。受大語言模型固有“幻覺”問題影響，該智能體在自主執(zhí)行任務(wù)過程中，易出現(xiàn)指令理解偏差、決策邏輯錯誤等問題，可能引發(fā)核心生產(chǎn)數(shù)據(jù)損毀、業(yè)務(wù)系統(tǒng)關(guān)鍵配置篡改、核心業(yè)務(wù)流程中斷等不可逆損失，對單位正常業(yè)務(wù)造成不利影響。

三是第三方生態(tài)惡意投毒風(fēng)險(xiǎn)。該智能體開源生態(tài)下的各類第三方插件、擴(kuò)展模塊、技能組件來源復(fù)雜，大量未經(jīng)安全審核的組件已被發(fā)現(xiàn)存在惡意代碼植入、后門預(yù)留等問題。加載使用此類違規(guī)組件，易導(dǎo)致部署環(huán)境被非法控制，引發(fā)內(nèi)網(wǎng)橫向滲透、勒索病毒攻擊等次生安全風(fēng)險(xiǎn)。

四是配置缺陷與已知漏洞利用風(fēng)險(xiǎn)。該智能體已公開披露多項(xiàng)高中危安全漏洞，默認(rèn)配置安全防護(hù)強(qiáng)度不足，若出現(xiàn)公網(wǎng)暴露實(shí)例、弱口令認(rèn)證、高權(quán)限賬戶運(yùn)行、敏感信息明文存儲等不當(dāng)配置行為，攻擊者可直接利用漏洞與配置缺陷實(shí)現(xiàn)系統(tǒng)接管，造成全量數(shù)據(jù)泄露、業(yè)務(wù)系統(tǒng)癱瘓等嚴(yán)重后果。

五是警惕復(fù)合型攻擊風(fēng)險(xiǎn)。警惕OpenClaw面臨人工智能大模型內(nèi)生安全風(fēng)險(xiǎn)與傳統(tǒng)軟件安全漏洞的深度耦合攻擊風(fēng)險(xiǎn)。它以傳統(tǒng)漏洞為入口突破環(huán)境邊界，借大模型內(nèi)生風(fēng)險(xiǎn)劫持模型行為、放大攻擊影響，打破傳統(tǒng)與 AI 安全的防護(hù)邊界，形成單一防護(hù)體系無法閉環(huán)防御的復(fù)合型威脅。

六是合規(guī)經(jīng)營與權(quán)責(zé)風(fēng)險(xiǎn)。該智能體的研發(fā)、部署與應(yīng)用若涉及個人信息處理、重要數(shù)據(jù)流轉(zhuǎn)、自動化決策、跨境數(shù)據(jù)傳輸?shù)葓鼍?，未?yán)格落實(shí)我國相關(guān)法律法規(guī)及行業(yè)標(biāo)準(zhǔn)要求，將引發(fā)相應(yīng)合規(guī)風(fēng)險(xiǎn)；使用第三方封裝服務(wù)的，還可能因權(quán)責(zé)劃分不清，出現(xiàn)數(shù)據(jù)泄露后追責(zé)難、維權(quán)難的問題。

七是跨境數(shù)據(jù)流轉(zhuǎn)風(fēng)險(xiǎn)。該智能體應(yīng)用可能被配置自動調(diào)用境外大模型 API、訪問境外數(shù)據(jù)源，或在跨境場景中部署使用，易發(fā)生未經(jīng)安全評估的自動化、高頻次跨境數(shù)據(jù)傳輸，可能違反我國《數(shù)據(jù)出境安全評估辦法》相關(guān)要求。

二、分場景安全防控指引

結(jié)合當(dāng)前主流應(yīng)用模式，聯(lián)盟按OpenClaw自行本地部署、云上部署、第三方廠商封裝服務(wù)使用三大場景，先明確全場景通用基礎(chǔ)安全要求，再針對不同場景的風(fēng)險(xiǎn)特性，發(fā)布專項(xiàng)安全提示。

（一）全場景通用基礎(chǔ)安全要求

以下要求適用于所有涉及OpenClaw及同類AI智能體的應(yīng)用場景，是不可突破的安全底線：

一是審慎評估真實(shí)使用需求。不盲目跟風(fēng)部署，使用相關(guān)工具時(shí)，加強(qiáng)供應(yīng)鏈與插件管理，對引入的第三方插件、擴(kuò)展模塊、技能組件等，在隔離環(huán)境完成代碼審查和行為驗(yàn)證，及時(shí)外部清理惡意組件，建立“先評估、后使用，先測試、后上線”的全流程管控機(jī)制。

二是劃定使用邊界，嚴(yán)防敏感信息泄露。嚴(yán)禁在敏感及涉密信息處理環(huán)境、核心生產(chǎn)業(yè)務(wù)系統(tǒng)、內(nèi)部核心涉密網(wǎng)絡(luò)中，開展任何形式的部署、使用與接入，不得為相關(guān)工具開放核心商業(yè)秘密、重要數(shù)據(jù)、個人敏感信息的訪問權(quán)限。

三是堅(jiān)守合規(guī)底線，嚴(yán)格遵守法律法規(guī)。嚴(yán)格遵守《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護(hù)法》《生成式人工智能服務(wù)管理暫行辦法》等法律法規(guī)，堅(jiān)守合規(guī)經(jīng)營底線。

四是強(qiáng)化全流程審計(jì)，健全應(yīng)急處置機(jī)制。對相關(guān)工具的運(yùn)行行為、操作指令、數(shù)據(jù)流轉(zhuǎn)開展全流程審計(jì)與日志留存，日志留存時(shí)長不少于6個月，建立異常行為實(shí)時(shí)監(jiān)測與應(yīng)急處置機(jī)制，發(fā)現(xiàn)風(fēng)險(xiǎn)第一時(shí)間關(guān)停處置、溯源整改。

五是持續(xù)開展安全加固，及時(shí)修復(fù)安全漏洞。持續(xù)跟蹤權(quán)威機(jī)構(gòu)發(fā)布的漏洞預(yù)警、安全公告與加固指引，及時(shí)修復(fù)已知安全漏洞，更新至官方最新安全版本；定期對部署環(huán)境、權(quán)限配置等進(jìn)行風(fēng)險(xiǎn)檢測與安全加固，持續(xù)提升風(fēng)險(xiǎn)防控能力。

六是強(qiáng)化員工安全管理，提升安全意識與專業(yè)能力。針對員工自行部署OpenClaw及同類AI智能體用于工作場景的安全風(fēng)險(xiǎn)，建立專項(xiàng)管控與培訓(xùn)機(jī)制，重點(diǎn)提供部署風(fēng)險(xiǎn)、敏感信息保護(hù)要求及應(yīng)急處置方法培訓(xùn)；部署在企業(yè)內(nèi)網(wǎng)或接觸企業(yè)業(yè)務(wù)數(shù)據(jù)的應(yīng)用盡量避免與員工個人即時(shí)通訊賬號進(jìn)行關(guān)聯(lián)，防范企業(yè)敏感數(shù)據(jù)通過不受控的社交平臺外泄，提升員工安全防范意識。

（二）自行本地部署場景專項(xiàng)安全提示

本場景適用范圍：自行下載OpenClaw開源代碼，在自有本地物理服務(wù)器、辦公終端、內(nèi)網(wǎng)私有環(huán)境中，自主搭建、部署、運(yùn)行及二次開發(fā)的應(yīng)用模式。針對本場景的核心風(fēng)險(xiǎn)點(diǎn)，提出以下專項(xiàng)防控要求：

一是嚴(yán)控源碼安全源頭：源碼需從項(xiàng)目官方可信倉庫下載，完成下載后第一時(shí)間開展靜態(tài)代碼審計(jì)與漏洞掃描，重點(diǎn)排查后門植入、惡意代碼、已知高危漏洞，嚴(yán)禁使用來源不明的二次修改分支、非官方鏡像包。

二是嚴(yán)格落實(shí)環(huán)境隔離：部署環(huán)境必須與單位核心業(yè)務(wù)網(wǎng)絡(luò)、辦公內(nèi)網(wǎng)進(jìn)行嚴(yán)格的邏輯隔離或物理隔離，僅能在封閉測試環(huán)境中運(yùn)行，嚴(yán)禁跨網(wǎng)段訪問核心業(yè)務(wù)系統(tǒng)、敏感數(shù)據(jù)存儲區(qū)。

三是極致收緊運(yùn)行權(quán)限：嚴(yán)格遵循最小權(quán)限原則，嚴(yán)禁使用管理員、root等高權(quán)限賬戶運(yùn)行程序，僅為其分配完成限定測試任務(wù)必需的最小系統(tǒng)權(quán)限，禁止賦予其文件批量刪除、系統(tǒng)配置修改、磁盤格式化等高危操作權(quán)限。

四是全面加固基礎(chǔ)配置：嚴(yán)禁將部署實(shí)例暴露至公網(wǎng)，關(guān)閉非必要的端口與網(wǎng)絡(luò)服務(wù)，啟用強(qiáng)身份認(rèn)證與多因子認(rèn)證機(jī)制，杜絕無認(rèn)證、弱口令訪問；API密鑰、系統(tǒng)憑證等敏感信息嚴(yán)禁明文存儲，需采用加密方式保管并定期輪換。

五是嚴(yán)管第三方擴(kuò)展資源：所有第三方插件、技能模塊、擴(kuò)展組件必須經(jīng)過專業(yè)安全檢測與惡意代碼查殺，未經(jīng)安全驗(yàn)證的一律不得加載使用；嚴(yán)禁直接導(dǎo)入來源不明的提示詞模板、配置文件，防范提示詞注入攻擊。

六是規(guī)范二次開發(fā)行為：基于開源代碼進(jìn)行二次開發(fā)的，需同步開展安全合規(guī)評估，重點(diǎn)排查自主開發(fā)功能中的權(quán)限繞過、數(shù)據(jù)泄露、注入攻擊等風(fēng)險(xiǎn)，建立版本迭代的安全測試機(jī)制，避免新增安全隱患。

七是設(shè)置智能體操作熔斷閾值：為智能體配置操作熔斷閾值，對批量文件讀寫、高頻權(quán)限調(diào)用、大流量數(shù)據(jù)傳輸?shù)犬惓Ｐ袨?，?shí)現(xiàn)自動識別、即時(shí)終止，并觸發(fā)告警機(jī)制。

（三）云上部署場景專項(xiàng)安全提示

本場景適用范圍：在公有云、私有云、混合云平臺的云服務(wù)器、容器服務(wù)、Serverless服務(wù)等云資源中，部署運(yùn)行OpenClaw開源版本及衍生分支版本的應(yīng)用模式。針對本場景的核心風(fēng)險(xiǎn)點(diǎn)，提出以下專項(xiàng)防控要求：

一是嚴(yán)控公網(wǎng)訪問邊界：嚴(yán)禁為部署實(shí)例直接綁定公網(wǎng)IP、放開全端口訪問，必須通過云平臺安全組嚴(yán)格管控訪問策略，僅對預(yù)先備案的內(nèi)網(wǎng)IP、VPN專線地址白名單開放訪問權(quán)限，所有外部訪問必須經(jīng)過加密隧道與身份認(rèn)證。審慎使用云平臺提供的“一鍵部署”公共鏡像或服務(wù)模板，啟用前必須對其默認(rèn)網(wǎng)絡(luò)配置與權(quán)限進(jìn)行全面核查與二次加固。

二是收緊云平臺權(quán)限管控：嚴(yán)格遵循云平臺IAM最小權(quán)限原則，嚴(yán)禁使用云平臺根賬戶、管理員賬戶部署運(yùn)行程序，僅為部署實(shí)例分配限定云資源操作的專屬角色，禁止賦予跨云產(chǎn)品、跨租戶的訪問權(quán)限，防范因權(quán)限被濫用引發(fā)的云資產(chǎn)全面失控。

三是強(qiáng)化云原生安全加固：使用容器部署的，需對容器鏡像進(jìn)行全流程安全掃描，排查鏡像中的惡意代碼、高危漏洞，嚴(yán)禁使用來源不明的公共鏡像；開啟容器逃逸防護(hù)、進(jìn)程白名單管控，限制容器的系統(tǒng)調(diào)用權(quán)限，禁止容器以特權(quán)模式運(yùn)行。

四是規(guī)范云環(huán)境敏感信息管理：API密鑰、云憑證、大模型訪問令牌等敏感信息，必須通過云平臺密鑰管理服務(wù)KMS進(jìn)行加密存儲與統(tǒng)一管理，嚴(yán)禁硬編碼至代碼、配置文件中，杜絕敏感信息明文泄露。

五是完善云安全監(jiān)測體系：對接云平臺的入侵檢測、流量審計(jì)、日志分析服務(wù)，對部署實(shí)例的異常訪問、橫向滲透、違規(guī)數(shù)據(jù)外發(fā)等行為進(jìn)行實(shí)時(shí)監(jiān)測；開啟云平臺快照備份功能，定期對部署環(huán)境進(jìn)行數(shù)據(jù)備份，防范數(shù)據(jù)損毀風(fēng)險(xiǎn)。

六是防范跨租戶與供應(yīng)鏈風(fēng)險(xiǎn)：避免在共享云資源、多租戶環(huán)境中部署運(yùn)行，優(yōu)先選擇專屬宿主機(jī)、私有云環(huán)境；對依賴的開源組件、第三方庫進(jìn)行供應(yīng)鏈安全檢測，排查開源組件中的已知漏洞與投毒風(fēng)險(xiǎn)。

七是完善云數(shù)據(jù)全生命周期安全防護(hù)：對智能體在云環(huán)境中產(chǎn)生、處理、存儲的所有數(shù)據(jù)，啟用云原生加密防護(hù)，對智能體的臨時(shí)數(shù)據(jù)緩存進(jìn)行定時(shí)清理與加密銷毀，嚴(yán)禁臨時(shí)數(shù)據(jù)明文留存于云服務(wù)器、容器、對象存儲中；禁止智能體將云環(huán)境中的數(shù)據(jù)同步至境外云節(jié)點(diǎn)或第三方未授權(quán)云存儲。

（四）第三方廠商封裝服務(wù)使用場景專項(xiàng)安全提示

本場景適用范圍：未自行部署底層代碼，直接采購、使用第三方廠商基于OpenClaw二次開發(fā)、封裝的SaaS化服務(wù)、成品工具、集成化平臺，或嵌入相關(guān)能力的業(yè)務(wù)系統(tǒng)的應(yīng)用模式。針對本場景的核心風(fēng)險(xiǎn)點(diǎn)，提出以下專項(xiàng)防控要求：

一是嚴(yán)格核驗(yàn)服務(wù)商合規(guī)資質(zhì)：優(yōu)先選擇行業(yè)內(nèi)安全能力有明確背書的服務(wù)商，重點(diǎn)核查其網(wǎng)絡(luò)安全等級保護(hù)備案證明、數(shù)據(jù)安全管理體系認(rèn)證等材料，嚴(yán)禁使用無資質(zhì)、無主體、無安全保障的個人開發(fā)工具、小眾匿名封裝服務(wù)。

二是明確權(quán)責(zé)劃分與法律約定：與服務(wù)商簽訂正式服務(wù)協(xié)議與保密協(xié)議，明確約定數(shù)據(jù)權(quán)屬、數(shù)據(jù)存儲范圍與地域、數(shù)據(jù)使用邊界、保密責(zé)任、安全保障義務(wù)、數(shù)據(jù)泄露追責(zé)條款與應(yīng)急處置義務(wù)，嚴(yán)禁服務(wù)商未經(jīng)授權(quán)收集、使用、泄露、傳輸用戶上傳的數(shù)據(jù)。

三是嚴(yán)控?cái)?shù)據(jù)上傳與使用邊界：嚴(yán)禁向第三方服務(wù)平臺上傳單位核心商業(yè)秘密、涉密信息、重要業(yè)務(wù)數(shù)據(jù)、個人敏感信息，僅可上傳完成非核心任務(wù)必需的最小范圍數(shù)據(jù)；嚴(yán)禁為第三方服務(wù)開放單位內(nèi)部系統(tǒng)、業(yè)務(wù)平臺、辦公環(huán)境的訪問接口與權(quán)限，防范攻擊者通過第三方服務(wù)實(shí)現(xiàn)內(nèi)網(wǎng)滲透。

四是審慎評估功能風(fēng)險(xiǎn)：使用前全面測試工具的指令執(zhí)行邏輯，重點(diǎn)排查提示詞注入防護(hù)、高危操作管控、權(quán)限邊界設(shè)置等安全能力，對文件刪除、數(shù)據(jù)外發(fā)、跨平臺操作等高危功能，原則上不予開通；確需開通的，必須設(shè)置嚴(yán)格的人工二次審核機(jī)制。

五是持續(xù)開展合規(guī)與安全監(jiān)測：定期核查服務(wù)商的安全合規(guī)情況、數(shù)據(jù)安全保障能力，跟蹤其是否存在安全事件、合規(guī)處罰等負(fù)面信息；對服務(wù)使用過程中的數(shù)據(jù)流轉(zhuǎn)、指令執(zhí)行進(jìn)行全程記錄，發(fā)現(xiàn)異常數(shù)據(jù)傳輸、違規(guī)指令執(zhí)行等情況，立即終止使用并留存相關(guān)證據(jù)。

六是做好應(yīng)急兜底保障：要求服務(wù)商明確應(yīng)急響應(yīng)流程與處置時(shí)限，建立數(shù)據(jù)泄露、服務(wù)中斷等突發(fā)情況的應(yīng)急處置預(yù)案；定期對相關(guān)數(shù)據(jù)進(jìn)行本地備份，避免因服務(wù)商服務(wù)終止、系統(tǒng)故障導(dǎo)致數(shù)據(jù)丟失。

七建立用戶數(shù)據(jù)全鏈路溯源與確權(quán)機(jī)制：要求服務(wù)商為用戶上傳的所有數(shù)據(jù)、智能體處理生成的衍生數(shù)據(jù)添加唯一溯源標(biāo)識，實(shí)現(xiàn)數(shù)據(jù)上傳、處理、存儲、輸出、刪除的全鏈路溯源；在服務(wù)協(xié)議中明確衍生數(shù)據(jù)權(quán)屬，約定智能體基于用戶數(shù)據(jù)生成的衍生數(shù)據(jù)歸用戶所有，服務(wù)商不得擅自使用、留存、泄露或用于模型訓(xùn)練；要求服務(wù)商提供數(shù)據(jù)一鍵刪除功能，用戶可隨時(shí)申請刪除所有上傳數(shù)據(jù)與衍生數(shù)據(jù)，且刪除后不可恢復(fù)。

三、聯(lián)盟下一步工作

聯(lián)盟將持續(xù)為各成員單位提供相關(guān)支撐服務(wù)：

一是持續(xù)跟蹤OpenClaw及同類AI智能體的安全風(fēng)險(xiǎn)動態(tài)，在條件允許的前提下，及時(shí)向成員單位同步風(fēng)險(xiǎn)預(yù)警與行業(yè)安全實(shí)踐。

二是按需組織人工智能安全領(lǐng)域的專項(xiàng)技術(shù)交流、專題培訓(xùn)活動，邀請行業(yè)專家分享不同場景下的安全防護(hù)經(jīng)驗(yàn)與解決方案。

三是編制企業(yè)級 OpenClaw 部署風(fēng)險(xiǎn)管理指南，形成自查自測清單，助力企業(yè)完善智能體合規(guī)治理體系。

四是針對成員單位在風(fēng)險(xiǎn)排查、隱患處置過程中遇到的問題，協(xié)調(diào)行業(yè)優(yōu)質(zhì)安全資源，提供專業(yè)指導(dǎo)與技術(shù)協(xié)助。

人工智能安全是產(chǎn)業(yè)高質(zhì)量發(fā)展的核心基石。聯(lián)盟鼓勵成員單位積極探索AI智能體等前沿技術(shù)的創(chuàng)新應(yīng)用，但也希望各成員單位高度重視本次提示的相關(guān)風(fēng)險(xiǎn)，結(jié)合自身實(shí)際應(yīng)用場景，全面開展風(fēng)險(xiǎn)排查，落地針對性安全防控措施，與聯(lián)盟一道，共同維護(hù)我國人工智能產(chǎn)業(yè)安全、有序、健康的發(fā)展環(huán)境。

（原標(biāo)題為：《關(guān)于防范OpenClaw開源AI智能體安全風(fēng)險(xiǎn)的提示》）