作者:袁立志、周宇心
随着以OpenClaw为代表的代理型人工智能(Agentic AI)应用普及,AI Agent(以下简称“智能体”)迅速进入大众视野,每个人都希望体验其强大的执行能力。除了个人将智能体作为私人助理外,不少企业也开始尝试利用它协助处理工作事务。
本文将结合智能体的功能需求,分析其部署和使用过程中可能面临的风险,并针对企业内部部署提出相应的管理与应对建议。
一、智能体的功能需求与风险
相对于单纯的生成式AI,智能体能够将复杂任务拆解为可执行子任务,并根据环境信息与自身状态主动规划执行路径。依托大语言模型,它可以灵活调用各类资源和工具完成任务。同时,通过多轮交互,它能够不断更新记忆库,持续优化执行逻辑和决策效率。
正是基于其上述特点,智能体也带来诸多新的风险,详见下表。
智能体的需求或特点 | 安全风险 |
(1)系统级权限获取 智能体需要在不同渠道间切换,以统一处理任务(对话、邮件、网页、各类App等不同应用),其本质上构成了具有跨应用操作权限的“通用代理”。这些权限包括:数据访问权限,用于理解需求并进行决策;工具与接口调用权限,用于调用大语言模型和其他工具;命令执行权限,在本地或服务器上执行工具、脚本和操作系统命令。 | 工具调用越权 这类攻击利用智能体的工具与接口调用权限和“自动执行”特性,形成“合法工具链”组合攻击,实现恶意目标。 数据访问越权 在读屏识别或跨平台接口调用时,智能体可能访问未授权的敏感数据或第三方主体数据。 权限失控 如智能体被赋予过宽权限,一旦算法幻觉引发其判断失误或理解错误,会造成重要数据丢失等不可逆损害。 权限滥用 攻击者利用智能体缺乏严格权限隔离和审计机制的架构缺陷,通过诱导或漏洞让智能体执行越权操作,最终完全接管用户系统。 违反第三方平台规则 智能体在跨平台执行任务时,可能触及第三方平台的使用限制,从而被认定为违反其平台规则。 |
(2)上下文推理 智能体通过上下文推理来理解任务并生成执行策略。推理上下文可能包含用户输入、网页内容、邮件内容、文档内容、API返回、日志输出等多源信息,这些内容均以文本形式进入上下文。 | 提示词注入 攻击者通过将恶意提示词嵌入推理上下文,诱导智能体将其误判为“高优先级任务指令”,触发敏感数据读取与外发行为。 系统提示词泄露 攻击者通过输入“伪装成合理工程需求”的指令,诱导系统输出系统提示词或内部配置,以便绕过安全边界、实施后续攻击。 |
(3)多步循环执行 智能体通过多步循环机制完成任务,执行一小步后读取结果再推理下一步。 | 链式风险放大 智能体通过多步循环机制将单步错误放大,导致整体结果偏离预期或产生严重后果。 |
(4)凭据存储 智能体保存Token、API Key、OAuth授权、SSH密钥等凭证,以访问外部资源、执行任务。 | 凭证泄露 攻击者通过漏洞(如OpenClaw的CVE-2026-25253漏洞)窃取主密钥,直接获取管理员权限,接管智能体系统。 |
(5)记忆机制与向量检索 智能体通过持久化存储记忆,记录任务上下文、环境配置以及用户偏好等信息,并在后续任务中检索并利用这些历史信息。 | 记忆投毒 攻击者将恶意指令写入长期记忆,智能体在未来任务中持续依据该规则执行。 向量库越界检索 某个用户的任务触发向量检索时,访问到其他用户的敏感数据。 |
(6)外部扩展组件 智能体需要通过外部扩展组件(如插件、技能库和第三方依赖组件)来实现具体功能。 | 供应链投毒 攻击者通过发布恶意技能包、篡改依赖库版本、在插件元数据中植入隐藏提示注入内容等方式进行供应链投毒,并借助智能体的执行权限完成后续攻击。 |
二、企业内部部署和使用智能体的管理与风险应对建议
智能体的潜在风险可能对网络安全、数据安全、个人信息保护、业务连续性等带来多方面负面影响。针对企业内部部署和使用智能体,我们建议在各个阶段采取相应的管控措施。
(一) 准入阶段:原则禁止
在部署智能体之前,企业应把好准入关。智能体在工作场景中的部署与使用应以禁止为原则,例外情形进行个案事前影响评估与审批。具体而言,企业应当:
1. 禁止员工在工作设备上私自部署智能体,并禁止向智能体开放内部网络、系统及数据的任何权限。对于已经私自部署的员工,应立即采取措施,确保智能体被彻底卸载。
2. 在高风险业务场景中禁止使用智能体。例如,人事管理、财务管理等涉及敏感数据的场景,以及与核心产品研发或核心服务提供相关的业务场景。
3. 对确需部署智能体的业务场景,进行事前审批。审批时,应注意结合部署环境、部署目标、人工参与程度、应用范围、部署成本、错误成本等因素,评估智能体部署的必要性。
(二) 部署阶段:安全先行
企业内部部署智能体应以安全可控为首要原则。具体而言,企业可考虑采取以下措施:
1. 慎重选择智能体
除OpenClaw外,目前市场上还存在大量智能体(如Manus、MiniMax Agent、Kimi等),其在底层模型、部署方式、数据存储方式以及部署复杂度等方面存在差异。在进行选择时,企业应结合自身业务实际需求,关注以下方面:
1) 数据安全:优先考虑数据本地存储的产品;
2) 数据出境合规:优先选择支持调用境内部署大模型的产品;
3) 第三方平台准入:关注拟接入第三方平台对智能体接入的限制规则。
2. 最小权限管控
企业应按照“最小权限原则”,创建专用低权限系统账户运行智能体。对文件和数据的访问采用白名单机制,设立单独文件夹管理,仅允许智能体读取指定目录,禁止跨目录访问。
3.网络控制
企业应在隔离环境中部署智能体,严格限制其对主机文件、网络、系统命令的访问范围。同时,应充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制。
4. 数据分级管理
对智能体可触达的数据实施分级管理,企业应尽量避免其接触或处理敏感个人信息及企业内部重要数据,例如账户密码、财务金融数据等。确需处理的,应建立更为严格的数据脱敏措施及权限控制机制。
(三) 运行阶段:持续监控
智能体具有输入空间开放、系统交互复杂、运行环境高度动态等特点,其安全风险呈现出明显的长尾特征,需要企业持续监测和动态治理。具体措施包括:
1. 落实智能体运行管理机制
在部署完成后,企业应持续管控智能体运行过程中的各类风险,具体措施包括:
1) 在系统层面对输入内容进行可信度区分,禁止智能体自动执行外部内容中的指令;
2) 通过系统提示词明确智能体代理边界与安全策略;
3) 实施记忆卫生管理,定期清除并审计智能体记忆库;
4) 严格管理向量数据库,落实租户隔离与越界检索防护;
5) 制定物理熔断方案和人工可控的紧急停止机制;
6) 加强外部扩展插件管理,在使用前对插件安装包代码进行审查,并持续维护插件安装清单等。
2. 开展监控与审计
企业应部署日志审计工具、入侵检测系统(IDS/IPS)与终端防护(EDR),重点监控异常命令执行和网络连接行为,确保可追溯可审计。同时,应定期检查并修补漏洞,持续关注官方安全公告和加固建议,及时安装安全补丁、进行版本更新。
3. 建立员工智能体使用行为守则
严格禁止的行为包括但不限于:浏览来历不明的网站,点击任何与智能体相关的陌生链接、邮件或二维码;在智能体对话界面、配置文件中输入各类凭证或任何其他敏感信息;安装未经安全审核、来源可疑的第三方插件、脚本或工具。
总体而言,企业在当前阶段应将智能体视为高风险的实验性工具进行管理。内部部署宜在最小范围内经事前审批开展试点,并配套实施严格的纵深防御措施。待智能体安全架构逐步成熟、生态治理体系不断完善后,再有序推进其实际落地与规模化应用。
声明:本文来自减熵实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
