“养虾”虽热但安全第一，专家谈普通人如何防范OpenClaw风险_智能_用户_权限

红星资本局3月9日消息，“龙虾”（OpenClaw）热度持续，继上周五小米官宣Xiaomi miclaw（龙虾智能体）后，今日腾讯宣布，旗下全场景AI智能体WorkBuddy正式上线。据官方介绍，在***下载安装后，直接输入指令就能让WorkBuddy执行任务；通过企业微信远程“遥控”，最快1分钟即可完成配置并连接。此外，它还能无缝接入QQ、飞书、钉钉等工具。

360集团创始人周鸿祎也在近日明确要做OpenClaw相关产品，称360将推出OpenClaw一键安装简化版，让每个人“养虾”都很方便。

3月9日，国家超算互联网宣布其OpenClaw服务已打通飞书、企业微信。用户可根据任务规模灵活选择多种模型API调用服务并接入飞书、企业微信客户端使用。

图据东方IC

地方层面，目前已有两地推出了相关政策。

3月7日，深圳龙岗区率先推出了自己的“龙虾十条”——《龙岗区支持OpenClaw&OPC发展的若干措施（征求意见稿）》，成为全国首个以系统性政策响应OpenClaw生态的区域。

无锡也传来利好，今日无锡高新区发布《关于支持OpenClaw等开源社区项目与OPC社区融合发展的若干措施（征求意见稿）》。12条“养龙虾”政策，从基础支持到产业落地，从人才引育到安全合规，单项支持最高达500万元。

在火爆的同时，风险也伴随其中。

据人民日报，近期，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）监测发现OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。

提示指出，由于OpenClaw在部署时“信任边界模糊”，且具备自身持续运行、自主决策、调用系统和外部***等特性，在缺乏有效权限控制、审计机制和安全加固的情况下，可能因指令诱导、配置缺陷或被恶意接管，执行越权操作，造成信息泄露、系统受控等一系列安全风险。

北京前瞻人工智能安全与治理研究院院长、联合国人工智能高层顾问机构专家曾毅在接受红星资本局***访时表示，智能体引擎的安全就绪度目前普遍很低，加之用户已在不同程度上让渡了人类决策权，可控性方面尤显不足。

“OpenClaw这样的智能体在个人设备、政企关键部门的广泛部署目前存在明确的安全隐患，在配置不当、被恶意接管或安装恶意插件时，可能在未经用户知情或预期的情况下绕过授权、诱导授权，静默执行高危操作，实现对相关设备的操控，核心风险源于其高权限设计与安全边界模糊。”

曾毅告诉红星资本局，这些问题在手机等智能设备上尤显突出。智能体若由于上述某种原因在手机上以高权限运行，或与电脑端联动，对设备上的邮件、社交、存储、金融等应用都将形成不同程度的威胁。

曾毅建议，在这种情况下，一方面要尽快建立起行之有效的智能体安全监测体系，另一方面用户自身需要加强安全防护。

如在部署和使用智能体时，应关闭公网暴露，加强认证与审计，限制可信来源，设置最小权限原则（如仅授予必要的访问权），仅使用官方或经过严格审计的插件，拒绝或极为谨慎使用“静默执行”“后台操作”等模糊指令。此外尽量不安装来源不明的APK，优先使用沙箱运行，定期轮换密钥与令牌，避免凭证泄露导致的恶意接管等。

“智能体服务的提供商，以及基于智能体引擎进行应用与产品研发的创新者应对智能体安全能力进行充分提升，遵循用户授权并进行必要提示，严格遵循最小权限，关闭公网暴露、严格检测并拒绝恶意插件。”曾毅说。

红星新闻记者 王田返回搜狐，查看更多