问题——随着“龙虾”等智能体在企业内部部署并接入管理系统,安全风险开始显现。
该类应用承担数据分析、文档处理、行政管理、财务辅助、知识管理等关键职能,一旦被植入异常插件、“技能包”等,可能形成供应链攻击入口;内网安全事件还可能横向扩散,引发对接系统平台、数据库等敏感信息泄露或丢失;缺乏审计与追溯机制时,合规风险随之增加。
原因——一是应用依赖第三方插件与组件,更新链条长、环节多,容易被不明来源代码或恶意更新渗透。
二是企业出于效率考虑扩大联网范围与权限配置,导致互联网暴露面增大。
三是内网安全治理与智能应用部署不同步,审计、权限、日志与应急机制未形成闭环,风险难以及时发现。
影响——一旦发生安全事件,首先影响企业核心数据与业务连续性,进而影响客户信息与商业信誉;对金融、政务等高敏感领域更可能引发合规处罚与社会影响。
伴随智能体部署范围扩大,相关风险具有跨系统、跨部门扩散特征,处置成本高、影响范围广。
对策——工业和信息化部网络安全威胁和漏洞信息共享平台组织智能体提供商、漏洞收集平台运营单位与网络安全企业提出“六要六不要”建议,明确要使用官方最新版本、要严格控制互联网暴露面、要坚持最小权限原则、要建立长效防护机制;同时,不要随意加载来源不明插件或“技能包”、不要在缺乏审计条件下大范围开放权限。
平台提示,相关单位应定期检查与修补漏洞,密切关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。
党政机关、企事业单位及个人用户可结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置潜在安全风险。
前景——随着智能体在行业场景持续深化,安全治理将成为影响其稳定应用的关键环节。
预计未来监管部门将完善标准与评估体系,推动安全能力与智能应用同步建设。
企业需要将智能体安全纳入整体信息安全与数据治理体系,从采购、部署、运维到应急处置形成全链条管理,提升风险预警与处置能力。
技术创新与安全防护从来不是对立关系,而是相辅相成的统一体。
工信部提出的"六要六不要"防护建议,既体现了对新兴技术应用的包容态度,也体现了对信息安全的严肃态度。
当前,各类机构应将这些建议切实转化为具体的防护措施,在享受智能体带来的效率提升的同时,筑牢安全防线。
唯有如此,才能确保新技术在企业管理中的健康发展,为数字经济的稳健运行提供坚实保障。