问题——开源智能体加速落地的同时,安全风险随之凸显。
随着智能体在自动化运维、数据处理、文档生成、信息检索等场景中被更多组织引入,一些产品在部署、扩展与联网使用过程中,可能出现未经审计的组件接入、过度授权、服务直接暴露公网等情况。
一旦被攻击者利用,轻则造成数据泄露、账号被盗,重则引发系统配置被篡改、业务中断,甚至成为进一步横向渗透的跳板。
原因——风险集中来源于“高权限+强连接+可扩展”的组合特征。
一方面,智能体为了完成任务往往需要访问文件、网络、浏览器或系统接口,天然具有较强操作能力;另一方面,部分用户为追求部署便利,忽视了基础的版本管理与边界防护,仍使用历史版本或来源不明的镜像;此外,技能市场等扩展生态降低了功能获取门槛,但也带来供应链风险,若插件、技能包夹带恶意代码或诱导执行脚本,可能在不易察觉的情况下放大攻击面。
社会工程学攻击同样值得警惕,攻击者可能通过钓鱼链接、恶意文档或浏览器劫持等方式,引导智能体或用户触发危险操作。
影响——从单点失陷到链式扩散,风险外溢效应不容低估。
对党政机关和企事业单位而言,智能体常与内部知识库、业务系统、运维平台相连接,若缺乏隔离与审计,一旦出现异常调用,可能导致敏感数据外传、关键服务受扰,影响生产经营与公共服务稳定性。
对个人用户而言,风险更多体现在账号凭据泄露、终端被控、隐私暴露等方面。
更需注意的是,开源项目更新频繁、依赖复杂,若缺少持续的漏洞跟踪和补丁验证,安全隐患可能长期潜伏并在特定条件下集中爆发。
对策——“六要六不要”指向可操作的防护闭环,强调先把基础工作做扎实。
工信部网络安全威胁和漏洞信息共享平台在综合研判基础上提出六方面建议,核心是把风险控制在“可见、可管、可追溯”的范围内。
一是抓版本与来源。
要从官方渠道获取最新稳定版本,开启自动更新提醒;升级前做好数据备份,升级后重启服务并验证补丁生效,避免“打了补丁却未生效”的形式化操作;不要使用第三方镜像或长期不更新的旧版本,以免引入未知篡改或已公开漏洞。
二是收紧暴露面。
要定期自查服务是否对公网开放,发现暴露立即下线整改;确需远程访问的,应通过SSH等加密通道并限制访问源地址,采用强密码、证书或硬件密钥等更可靠的认证方式;不要将实例直接暴露在互联网上,防止被扫描探测和自动化攻击工具盯上。
三是落实最小权限。
要按业务需求授予完成任务所必需的最低权限,对删除文件、发送数据、修改系统配置等关键动作设置二次确认或人工审批;优先在容器或虚拟机中隔离运行,形成独立权限边界;不要以管理员权限账号部署运行,防止一旦失陷造成“全盘接管”。
四是管好扩展生态。
要谨慎使用技能市场,审慎下载技能包并在安装前审查代码与权限请求;不要安装要求“下载ZIP”“执行shell脚本”或“输入密码”等高风险技能包,避免被诱导执行恶意指令。
五是防范社会工程学与浏览器侧风险。
要使用浏览器沙箱、网页过滤器等工具阻断可疑脚本,启用日志审计并在出现异常时及时断开网关、重置密码;不要访问来历不明网站,不点击陌生链接,不读取不可信文档,减少“人”与“浏览器”环节被突破的概率。
六是建立长效机制。
要定期排查并修补漏洞,持续关注官方安全公告以及相关漏洞库风险预警;党政机关、企事业单位和个人用户可结合安全防护工具与主流杀毒软件开展实时防护,及时处置潜在风险;不要关闭详细日志审计功能,确保出现问题时有据可查、可追责可复盘。
前景——安全与应用需同步设计,智能体治理将走向制度化、常态化。
业内人士认为,开源智能体的价值在于创新活力与生态协同,但其安全治理必须前置到选型、部署、运维全生命周期。
下一步,随着智能体在更多生产环节深入应用,围绕插件供应链审计、权限分级、行为可解释与可追溯、默认安全配置等方面的规范化要求有望进一步强化。
对使用单位而言,应把“更新、隔离、审计、最小权限、边界管控”作为底线能力建设,将技术红利转化为可持续的生产力。
网络安全防护是一个系统工程,需要技术手段、管理制度和用户意识的有机结合。
工信部此次发布的防护指南,既体现了对新兴技术风险的深刻认识,也为广大用户提供了可操作的实践路径。
在智能体技术快速发展的当下,只有坚持防护先行、风险可控的原则,才能更好地释放技术创新的潜力,推动数字经济的安全健康发展。