3月12日,中国人工智能产业发展联盟发布关于防范OpenClaw开源AI智能体安全风险的提示。
一、安全风险提示
一是提示词注入与指令劫持风险。该智能体具备持续自主运行、多模态内容读取、跨平台指令执行能力,攻击者可通过文档、网页、交互内容植入恶意提示词,绕过安全管控机制实现指令劫持,诱导其未经授权执行数据窃取、权限篡改、恶意代码执行等操作,极易引发关键敏感数据、核心知识产权、系统访问凭证泄露,以及将主机变成僵尸网络节点等安全事件。
二是自主决策偏差与不可逆操作风险。受大语言模型固有“幻觉”问题影响,该智能体在自主执行任务过程中,易出现指令理解偏差、决策逻辑错误等问题,可能引发核心生产数据损毁、业务系统关键配置篡改、核心业务流程中断等不可逆损失,对单位正常业务造成不利影响。
三是第三方生态恶意投毒风险。该智能体开源生态下的各类第三方插件、扩展模块、技能组件来源复杂,大量未经安全审核的组件已被发现存在恶意代码植入、后门预留等问题。加载使用此类违规组件,易导致部署环境被非法控制,引发内网横向渗透、勒索病毒攻击等次生安全风险。
四是配置缺陷与已知漏洞利用风险。该智能体已公开披露多项高中危安全漏洞,默认配置安全防护强度不足,若出现公网暴露实例、弱口令认证、高权限账户运行、敏感信息明文存储等不当配置行为,攻击者可直接利用漏洞与配置缺陷实现系统接管,造成全量数据泄露、业务系统瘫痪等严重后果。
五是警惕复合型攻击风险。警惕OpenClaw面临人工智能大模型内生安全风险与传统软件安全漏洞的深度耦合攻击风险。它以传统漏洞为入口突破环境边界,借大模型内生风险劫持模型行为、放大攻击影响,打破传统与 AI 安全的防护边界,形成单一防护体系无法闭环防御的复合型威胁。
六是合规经营与权责风险。该智能体的研发、部署与应用若涉及个人信息处理、重要数据流转、自动化决策、跨境数据传输等场景,未严格落实我国相关法律法规及行业标准要求,将引发相应合规风险;使用第三方封装服务的,还可能因权责划分不清,出现数据泄露后追责难、维权难的问题。
七是跨境数据流转风险。该智能体应用可能被配置自动调用境外大模型 API、访问境外数据源,或在跨境场景中部署使用,易发生未经安全评估的自动化、高频次跨境数据传输,可能违反我国《数据出境安全评估办法》相关要求。
二、分场景安全防控指引
结合当前主流应用模式,联盟按OpenClaw自行本地部署、云上部署、第三方厂商封装服务使用三大场景,先明确全场景通用基础安全要求,再针对不同场景的风险特性,发布专项安全提示。
(一)全场景通用基础安全要求
以下要求适用于所有涉及OpenClaw及同类AI智能体的应用场景,是不可突破的安全底线:
一是审慎评估真实使用需求。不盲目跟风部署,使用相关工具时,加强供应链与插件管理,对引入的第三方插件、扩展模块、技能组件等,在隔离环境完成代码审查和行为验证,及时外部清理恶意组件,建立“先评估、后使用,先测试、后上线”的全流程管控机制。
二是划定使用边界,严防敏感信息泄露。严禁在敏感及涉密信息处理环境、核心生产业务系统、内部核心涉密网络中,开展任何形式的部署、使用与接入,不得为相关工具开放核心商业秘密、重要数据、个人敏感信息的访问权限。
三是坚守合规底线,严格遵守法律法规。严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《生成式人工智能服务管理暂行办法》等法律法规,坚守合规经营底线。
四是强化全流程审计,健全应急处置机制。对相关工具的运行行为、操作指令、数据流转开展全流程审计与日志留存,日志留存时长不少于6个月,建立异常行为实时监测与应急处置机制,发现风险第一时间关停处置、溯源整改。
五是持续开展安全加固,及时修复安全漏洞。持续跟踪权威机构发布的漏洞预警、安全公告与加固指引,及时修复已知安全漏洞,更新至官方最新安全版本;定期对部署环境、权限配置等进行风险检测与安全加固,持续提升风险防控能力。
六是强化员工安全管理,提升安全意识与专业能力。针对员工自行部署OpenClaw及同类AI智能体用于工作场景的安全风险,建立专项管控与培训机制,重点提供部署风险、敏感信息保护要求及应急处置方法培训;部署在企业内网或接触企业业务数据的应用尽量避免与员工个人即时通讯账号进行关联,防范企业敏感数据通过不受控的社交平台外泄,提升员工安全防范意识。
(二)自行本地部署场景专项安全提示
本场景适用范围:自行下载OpenClaw开源代码,在自有本地物理服务器、办公终端、内网私有环境中,自主搭建、部署、运行及二次开发的应用模式。针对本场景的核心风险点,提出以下专项防控要求:
一是严控源码安全源头:源码需从项目官方可信仓库下载,完成下载后第一时间开展静态代码审计与漏洞扫描,重点排查后门植入、恶意代码、已知高危漏洞,严禁使用来源不明的二次修改分支、非官方镜像包。
二是严格落实环境隔离:部署环境必须与单位核心业务网络、办公内网进行严格的逻辑隔离或物理隔离,仅能在封闭测试环境中运行,严禁跨网段访问核心业务系统、敏感数据存储区。
三是极致收紧运行权限:严格遵循最小权限原则,严禁使用管理员、root等高权限账户运行程序,仅为其分配完成限定测试任务必需的最小系统权限,禁止赋予其文件批量删除、系统配置修改、磁盘格式化等高危操作权限。
四是全面加固基础配置:严禁将部署实例暴露至公网,关闭非必要的端口与网络服务,启用强身份认证与多因子认证机制,杜绝无认证、弱口令访问;API密钥、系统凭证等敏感信息严禁明文存储,需采用加密方式保管并定期轮换。
五是严管第三方扩展资源:所有第三方插件、技能模块、扩展组件必须经过专业安全检测与恶意代码查杀,未经安全验证的一律不得加载使用;严禁直接导入来源不明的提示词模板、配置文件,防范提示词注入攻击。
六是规范二次开发行为:基于开源代码进行二次开发的,需同步开展安全合规评估,重点排查自主开发功能中的权限绕过、数据泄露、注入攻击等风险,建立版本迭代的安全测试机制,避免新增安全隐患。
七是设置智能体操作熔断阈值:为智能体配置操作熔断阈值,对批量文件读写、高频权限调用、大流量数据传输等异常行为,实现自动识别、即时终止,并触发告警机制。
(三)云上部署场景专项安全提示
本场景适用范围:在公有云、私有云、混合云平台的云服务器、容器服务、Serverless服务等云资源中,部署运行OpenClaw开源版本及衍生分支版本的应用模式。针对本场景的核心风险点,提出以下专项防控要求:
一是严控公网访问边界:严禁为部署实例直接绑定公网IP、放开全端口访问,必须通过云平台安全组严格管控访问策略,仅对预先备案的内网IP、VPN专线地址白名单开放访问权限,所有外部访问必须经过加密隧道与身份认证。审慎使用云平台提供的“一键部署”公共镜像或服务模板,启用前必须对其默认网络配置与权限进行全面核查与二次加固。
二是收紧云平台权限管控:严格遵循云平台IAM最小权限原则,严禁使用云平台根账户、管理员账户部署运行程序,仅为部署实例分配限定云资源操作的专属角色,禁止赋予跨云产品、跨租户的访问权限,防范因权限被滥用引发的云资产全面失控。
三是强化云原生安全加固:使用容器部署的,需对容器镜像进行全流程安全扫描,排查镜像中的恶意代码、高危漏洞,严禁使用来源不明的公共镜像;开启容器逃逸防护、进程白名单管控,限制容器的系统调用权限,禁止容器以特权模式运行。
四是规范云环境敏感信息管理:API密钥、云凭证、大模型访问令牌等敏感信息,必须通过云平台密钥管理服务KMS进行加密存储与统一管理,严禁硬编码至代码、配置文件中,杜绝敏感信息明文泄露。
五是完善云安全监测体系:对接云平台的入侵检测、流量审计、日志分析服务,对部署实例的异常访问、横向渗透、违规数据外发等行为进行实时监测;开启云平台快照备份功能,定期对部署环境进行数据备份,防范数据损毁风险。
六是防范跨租户与供应链风险:避免在共享云资源、多租户环境中部署运行,优先选择专属宿主机、私有云环境;对依赖的开源组件、第三方库进行供应链安全检测,排查开源组件中的已知漏洞与投毒风险。
七是完善云数据全生命周期安全防护:对智能体在云环境中产生、处理、存储的所有数据,启用云原生加密防护,对智能体的临时数据缓存进行定时清理与加密销毁,严禁临时数据明文留存于云服务器、容器、对象存储中;禁止智能体将云环境中的数据同步至境外云节点或第三方未授权云存储。
(四)第三方厂商封装服务使用场景专项安全提示
本场景适用范围:未自行部署底层代码,直接采购、使用第三方厂商基于OpenClaw二次开发、封装的SaaS化服务、成品工具、集成化平台,或嵌入相关能力的业务系统的应用模式。针对本场景的核心风险点,提出以下专项防控要求:
一是严格核验服务商合规资质:优先选择行业内安全能力有明确背书的服务商,重点核查其网络安全等级保护备案证明、数据安全管理体系认证等材料,严禁使用无资质、无主体、无安全保障的个人开发工具、小众匿名封装服务。
二是明确权责划分与法律约定:与服务商签订正式服务协议与保密协议,明确约定数据权属、数据存储范围与地域、数据使用边界、保密责任、安全保障义务、数据泄露追责条款与应急处置义务,严禁服务商未经授权收集、使用、泄露、传输用户上传的数据。
三是严控数据上传与使用边界:严禁向第三方服务平台上传单位核心商业秘密、涉密信息、重要业务数据、个人敏感信息,仅可上传完成非核心任务必需的最小范围数据;严禁为第三方服务开放单位内部系统、业务平台、办公环境的访问接口与权限,防范攻击者通过第三方服务实现内网渗透。
四是审慎评估功能风险:使用前全面测试工具的指令执行逻辑,重点排查提示词注入防护、高危操作管控、权限边界设置等安全能力,对文件删除、数据外发、跨平台操作等高危功能,原则上不予开通;确需开通的,必须设置严格的人工二次审核机制。
五是持续开展合规与安全监测:定期核查服务商的安全合规情况、数据安全保障能力,跟踪其是否存在安全事件、合规处罚等负面信息;对服务使用过程中的数据流转、指令执行进行全程记录,发现异常数据传输、违规指令执行等情况,立即终止使用并留存相关证据。
六是做好应急兜底保障:要求服务商明确应急响应流程与处置时限,建立数据泄露、服务中断等突发情况的应急处置预案;定期对相关数据进行本地备份,避免因服务商服务终止、系统故障导致数据丢失。
七建立用户数据全链路溯源与确权机制:要求服务商为用户上传的所有数据、智能体处理生成的衍生数据添加唯一溯源标识,实现数据上传、处理、存储、输出、删除的全链路溯源;在服务协议中明确衍生数据权属,约定智能体基于用户数据生成的衍生数据归用户所有,服务商不得擅自使用、留存、泄露或用于模型训练;要求服务商提供数据一键删除功能,用户可随时申请删除所有上传数据与衍生数据,且删除后不可恢复。
三、联盟下一步工作
联盟将持续为各成员单位提供相关支撑服务:
一是持续跟踪OpenClaw及同类AI智能体的安全风险动态,在条件允许的前提下,及时向成员单位同步风险预警与行业安全实践。
二是按需组织人工智能安全领域的专项技术交流、专题培训活动,邀请行业专家分享不同场景下的安全防护经验与解决方案。
三是编制企业级 OpenClaw 部署风险管理指南,形成自查自测清单,助力企业完善智能体合规治理体系。
四是针对成员单位在风险排查、隐患处置过程中遇到的问题,协调行业优质安全资源,提供专业指导与技术协助。
人工智能安全是产业高质量发展的核心基石。联盟鼓励成员单位积极探索AI智能体等前沿技术的创新应用,但也希望各成员单位高度重视本次提示的相关风险,结合自身实际应用场景,全面开展风险排查,落地针对性安全防控措施,与联盟一道,共同维护我国人工智能产业安全、有序、健康的发展环境。