(问题)随着智能体技术从“对话工具”走向“可执行任务的数字助手”,OpenClaw等开源智能体框架因可自动处理邮件、读写文件、登录应用、调用支付等能力,吸引了大量开发者和普通用户部署使用。此外,“自动化越强、权限需求越高”的特点也让它更容易成为攻击链条中的关键一环。一旦部署配置不当、组件存缺陷或被外部诱导,智能体可能在用户不易察觉的情况下触发敏感数据外泄、账户异常操作,甚至资金被非法划转等严重后果。 (原因)风险集中暴露主要源于三上因素叠加。其一,权限与信任边界容易被放大。为完成跨应用操作,智能体往往需要系统级访问、浏览器会话、密钥与令牌等高敏权限;如果权限边界不清或缺少隔离控制,攻击者可能通过“越权”接管用户环境。其二,新型攻击更擅长“借智行恶”。国家互联网应急中心提示,攻击者可在网页内容中嵌入隐藏恶意指令,诱导智能体在读取页面时执行不当操作,即“提示词注入”风险;同时,部分远程控制类漏洞也可能通过诱导访问恶意网页等方式,实现对本地智能体的间接操控。其三,外部生态链条质量不一。插件(skills)扩展降低了使用门槛,也带来更大的“投毒”空间:已有被确认的恶意插件或潜在高风险插件,可能窃取密钥、植入木马、开设后门,导致设备沦为受控“肉鸡”。 (影响)从个人层面看,隐私与财产安全面临直接威胁。智能体执行任务时可能接触照片、文档、聊天记录、浏览记录、API密钥及支付账户等敏感信息;一旦凭证泄露或被滥用,用户可能遭遇账户被盗、数据被加密勒索、异常转账等风险。此外,智能体对指令理解偏差还可能造成“误操作”——如误删邮件或重要文件——带来难以恢复的损失。从机构层面看,风险外溢更具破坏性。金融、能源等关键行业若将智能体接入生产环境,但缺乏安全隔离与审计机制,可能引发核心业务数据、商业机密、代码仓库泄露,甚至造成业务系统中断,影响连续运行与合规要求。中央网信办数据与技术保障中心梳理的风险维度还显示,部分部署实例存在未启用认证、弱口令等问题;叠加高频屏幕截图与系统底层接口调用等特性,可能使行为轨迹与凭证信息暴露在公网环境中,继续增加被规模化利用的可能。 (对策)围绕上述风险,国家互联网应急中心给出部署与使用层面的安全建议,强调从“网络暴露面、权限隔离、凭证管理、插件治理、漏洞修补”全链条落实防护:一是强化网络控制,不将默认管理端口直接暴露在公网上,采用身份认证、访问控制等方式管理访问;同时对运行环境实施严格隔离,使用容器等技术限制过高权限。二是加强凭证管理,避免在环境变量中明文存储密钥,建立完整的操作日志与审计机制,确保关键操作可追溯。三是严格管理插件来源,禁用自动更新,仅从可信渠道安装并完成签名验证的扩展程序,降低生态“投毒”风险。四是持续关注补丁与安全更新,及时升级版本并安装安全补丁,减少已知漏洞被利用的概率。与此同时,中央网信办数据与技术保障中心也从技术架构、漏洞攻击、隐私泄露、法律合规与生态信任等维度提出警示,提示在推广应用时同步完善安全评估、责任边界与标准细则等配套机制,避免只追求效率而忽视安全。 (前景)业内普遍认为,智能体将成为软件形态与生产流程的重要变量,但安全治理必须前置。随着智能体向多工具调用、多系统联动与跨域协作发展,安全策略需要从“单点防护”转向“最小权限、分层隔离、持续监测、供应链治理”的体系化建设;关键行业引入涉及的技术时,应坚持“先评估、后接入、再扩展”,在受控环境中试点,分级授权、分场景上线。同时,应推动可信插件生态与安全审计机制建设,形成可验证、可追责的技术与管理闭环,让新技术在可控边界内释放生产力。
智能体大幅增强了数字世界的“执行力”,也让权限、数据与责任更紧密地绑定在一起;自动化越高、可调用资源越多,越需要用制度与技术划清边界,用审计与隔离形成约束,用生态治理提升可信度。把风险挡在前面,才能让新技术更稳定地服务发展、民生与安全。