问题—— 随着OpenClaw等智能体工具从技术圈走向大众,“数字秘书”“自动办事”等概念迅速普及。这类工具较少人工干预的情况下,就能自动处理邮件、管理日程、订票下单甚至完成支付。用户使用更方便、黏性更强的同时,也意味着系统权限、账号密钥和个人信息被集中交由软件“代管”。多位网络安全人士提醒:当智能体被赋予更高权限、更强自动化能力时,传统的终端安全、账号安全和供应链安全风险都会被放大,而且更隐蔽、更难追溯。 原因—— 一是架构与配置上的“默认信任”容易埋雷。公开信息显示,OpenClaw在部分本地部署场景中,会通过绑定本机地址的网关对外提供连接能力。安全研究人员披露的“ClawJacked”高危漏洞显示,攻击者可诱导用户访问恶意网页后,通过脚本尝试建立连接并进行高频口令猜测;一旦成功,便可将自身注册为受信任设备,从而获得对实例的高权限控制。工业和信息化领域涉及的漏洞共享平台已发布预警,提示部分实例在默认或不当配置下风险较高。 二是“自主运行”叠加“权限过宽”,容易让指令约束失效。智能体不只是对话工具,而是直接执行操作,因此往往需要访问文件、邮件、浏览器会话以及各类服务凭证。一旦权限边界不清,缺少强制确认与回滚机制,就可能在提示诱导、配置缺陷或异常逻辑下发生越权行为。业内案例显示,接入邮箱后的自动整理功能可能出现误删、批量处理等不可逆后果,且用户的停止指令未必能立刻生效。 三是生态扩张带来新的“供应链”风险。智能体通常依靠“技能”“插件”“集成脚本”等扩展能力完成复杂任务。安全机构通报称,攻击者可能将恶意内容伪装成教程或技能文件,引导用户下载安装,从而投放木马或窃取信息。对普通用户而言,扩展来源多、真假难辨,一处失守就可能演变为系统级风险。 四是数据链路变长,隐私暴露面随之扩大。智能体在指令输入、日志记录、远程调用、缓存存储等环节都可能沉淀敏感信息。有审计发现,个别开源项目在默认设置下会将用户指令以明文写入日志,时间一长可形成可检索的“行为档案”。一旦遭遇入侵或权限被滥用,攻击者可能获取私人消息、账户凭证、接口密钥等关键数据,进而实施精准诈骗或继续横向渗透。 影响—— 对个人用户而言,风险主要表现为账号被控制、资金与隐私受损、重要资料误删或被加密勒索;同时,“零点击”类攻击会让受害者更难及时察觉。对企业与机构而言,智能体一旦接触办公邮箱、知识库、代码仓库或客户数据,可能引发数据出境合规风险、商业秘密泄露与业务连续性问题;此外,插件投毒也可能让安全事件从单一终端扩散为生态性事件,处置成本和溯源难度明显上升。 对策—— 业内建议从“技术加固、使用规范、生态治理、监管协同”四上同步推进: 第一,强化默认安全与分级授权。部署端应避免弱口令与对外暴露,启用强身份认证与连接限速;对“删除、支付、转账、批量发送”等高风险动作设置二次确认,落实最小权限原则,并支持一键暂停、任务回滚与安全模式运行。 第二,建立可审计、可追责的运行机制。完善日志脱敏与加密存储,关键操作全程留痕;引入行为告警,对异常频次、异常外联、异常权限调用及时提示并阻断。 第三,推进插件与技能市场的“准入+签名+溯源”。平台应落实发布者实名与签名校验,建立恶意样本快速下架与黑名单共享机制;用户侧尽量从可信渠道获取扩展,谨慎授予系统级权限。 第四,加强安全评测与应急响应。云服务商、开发者社区与安全机构应明确漏洞响应时限与补丁推送机制,开展常态化攻防演练与安全基线检查,推动风险信息共享。 前景—— 智能体将推动人机协作从“辅助查询”走向“代办执行”,对提升效率确有价值。但其大规模普及的前提,是安全与治理能力同步跟上。未来一段时间,行业竞争焦点可能从“能做多少事”转向“能否在可控、可审计、可回退的边界内做事”,并在隐私保护、插件生态、权限模型和责任划分上形成更清晰的规则。
智能体技术是人工智能应用的重要方向,其便捷高效确实为用户带来实际价值;但技术推广必须以安全为前提。当前暴露的问题并非智能体天然不可控,而是在快速商业化过程中,安全投入与防护体系跟进不足。只有开发者、平台方、监管部门与用户共同发力,在技术设计、产品部署、生态治理和安全意识上同步推进,才能让智能体在可控框架内释放潜能,真正成为可靠、可用的工具。