AI智能体的演进，其意义堪比互联网开始取代实体商铺的那天。OpenClaw是首批实现规模化应用的开源自主AI智能体平台之一。它绝非普通聊天机器人，不会像传统生成式AI或助手只能输出内容，被动等待你的指令。OpenClaw智能体能调用AI模型、读取文件、拆解复杂任务、调度子智能体、对接各类工具（内部与外部）、按计划运行，还能在无人监管的情况下全天候自主工作。

　　绝大多数企业尚未制定AI智能体相关战略，但都在思考如何将这类自主智能体应用到业务中。可他们仍把智能体当成“工具”，正是这种认知偏差，埋下了AI安全风险的种子。尤为突出的是，应用普及的速度远超管控能力的跟进速度。企业还没明确信任边界、监管机制乃至合理的责任划分，就已经开始试水自主智能体。

　　我们应当从企业运营的视角看待自主智能体AI：它带来的是重构工作组织与执行方式的机遇。

　　落到实际层面意味着什么？要发挥效用，智能体就需要持续、自主地读取你的邮件、查询内部系统、编写并运行代码、发起API调用，以及对接外部服务。这场变革不只是为日常工作提供辅助，AI智能体已经并将逐步接手部分工作。

　　更关键的是，要创造真正价值，它必须依托你的身份、权限和访问路径开展操作 —— 至少是你工作身份中对应的部分权限。这也是自主智能体AI的核心特征之一：它必须拥有授权，无论是继承而来还是另行赋予。

　　如今的风险早已不只是模型精度不足或产生幻觉。当智能体执行操作时，它代表着你，在企业内部系统中行动，而这些系统原本就不是为自主行为设计的。不妨想想你的客户：当他们开始用智能体对接你那些按人类处理速度和逻辑设计的服务时，现有服务体系也必须针对智能体的特性重新改造。

开源AI智能体框架OpenClaw引发关注

　　OpenClaw是AI智能体从理论走向大规模落地的典型案例。作为一款可自主部署的开源AI 智能体框架，它依托社区驱动的技能生态体系，能够接入企业内部各类系统，包括邮件、云存储、通讯平台和代码仓库。

　　部署完成后，它能跨系统自主完成读取、写入、执行和任务编排，持续运行而非被动交互。企业对智能体的迫切需求并非偶然，其能力对任何企业都极具吸引力。需要强调的是，这并非半被动式的辅助工具，而是下一代技术形态。

　　我一直认为，技术应用中的“阻力”是推动变革的杠杆。此前，这类阻力正是制约智能体普及的因素之一：部署OpenClaw这类平台需要配置基础设施、放宽基础安全管控（实际操作中很容易被忽视），还要求具备专业技术能力，这些无形中形成了天然门槛。如今，OpenClaw的诸多限制已被移除。多数处于内测、公测阶段的创新技术仍普遍忽视安全问题，这点我们后续再谈。

　　英伟达CEO黄仁勋评价道：“OpenClaw开源了智能体计算机的操作系统。” 该项目由奥地利开发者彼得・施泰因贝格尔创建，短短数月内，便被黄仁勋称作 “人类历史上规模最大、最受欢迎、最成功的开源项目”。

　　OpenClaw全新的智能体AI封装模式也大幅降低了使用门槛。智能体运行环境如今可部署在普通设备上，甚至包括安卓移动端；浏览器原生方案也省去了大量部署麻烦，只需简单命令即可一次性完成模型、依赖项和运行环境的安装。在企业环境中实现起来没这么轻松，但对受控团队而言，这已是极具价值的突破。

　　这符合技术发展的常见规律：降低复杂度，扩大普及范围，生态自然随之壮大。但这次不同，普及的并非被动软件，而是拥有授权、可接入敏感系统的自主执行程序。

安全体系未能跟上发展节奏

　　OpenClaw的安全问题并非零散漏洞，这一领域涌现出大量新型安全风险，其中几类尤为值得关注。作为安全从业者，我认为技术“能用”和技术“可用”有着本质区别。它必须达到真实用户所期望的信任标准、责任机制与数据安全水平，对受监管的企业而言更是如此。这些安全问题，本质上是系统在设计之初未融入安全考量而产生的结构性缺陷。

第一类安全风险：行为不可见

　　智能体执行操作时，使用的是真实凭证和合规接口。访问敏感数据时，请求会被判定为合法；向外传输数据时，连接会被授权；执行指令时，也在其权限范围内运作。

　　在智能体控制层面，正常行为与恶意行为没有清晰界限，这使得传统安全管控基本失效。终端检测工具查杀恶意软件，数据防泄漏工具识别已知特征，身份系统验证登录凭证，这些工具从设计上就无法检测合法自主行为的滥用。

　　现代安全系统同样存在问题：它们通常假定攻击者窃取凭证后在企业内部“就地作案”，异常检测引擎会把智能体的正常行为误判为恶意攻击。那么，当安全运营中心（SOC）也用上AI智能体，部署检测智能体追踪恶意智能体时，又会发生什么？最终结果就是出现监控盲区，至少是智能体层面的AI监控死角。

第二类安全风险：提示层被入侵

　　智能体系统会将外部数据纳入决策依据，邮件、文档、消息、网页内容都可作为输入。攻击者可在这些内容中嵌入指令，智能体会将其当作任务的一部分执行，这就是间接提示注入攻击。

　　这类攻击无需利用软件漏洞或零日漏洞，而是针对系统的推理逻辑下手。攻击面扩大到智能体可访问的所有数据源，数据不再是被动载体，威胁模型被彻底改变。攻击者无需直接攻击 OpenClaw，只需污染其运行环境即可。对智能体的最低安全威胁评估标准应当是：“这个智能体最坏能做什么？这样的后果能否接受？”

第三类安全问题：供应链暴露

　　OpenClaw通过社区技能库扩展功能，这些技能在增强能力的同时，也将未经验证的代码带入执行环境。现已发现恶意技能包存在窃取凭证、访问敏感文件、执行指令等行为。原因很简单：智能体将这些技能视为正常功能调用，恶意行为与正常操作毫无区别。

　　值得一提的是，思科AI安全团队曾做过一项严谨研究，测试了社区中排名第一的技能 “Elon会怎么做？”（该排名由恶意操作者刻意刷高）。

　　团队发现，这款技能会在用户毫无察觉的情况下窃取数据并实施提示注入。OpenClaw技能库缺乏可靠的审核机制，无法阻止恶意内容传播。我们早已习惯手机应用商店的基础审核，而这里几乎形同虚设。思科团队为此开发了OpenClaw技能扫描工具，用于评估并识别安全风险。

最后：直接漏洞与配置不当

　　各类直接漏洞和配置风险层出不穷，远程代码执行缺陷、认证薄弱的公开实例、大规模凭证泄露等问题均已被证实存在。这些并非假想风险，而是真实存在的活跃安全威胁。其严重性不在于漏洞数量，而在于自主执行、高权限访问与行为不可见三者叠加的危害。

　　截至目前，OpenClaw的普及速度远超当年Linux等技术的推广速度。事实表明，在信任边界内合法运行的系统，完全可能被恶意利用，且不会触发传统安全告警。

　　行业层面的应对措施正在逐步成型。

英伟达NemoClaw填补安全缺口

       英伟达推出的NemoClaw是弥补这一安全缺口的早期尝试，并未替换底层智能体模型。它新增了名为OpenShell的控制层，位于AI智能体运行环境之下，在操作执行层面实施策略管控。

　　这带来了什么改变？首先，文件访问可被限制；网络通信可被管控，外部连接需明确审批；敏感数据可本地处理而非外传。在我看来，这是从“信任执行”转向“策略执行”的积极转变。系统不再默认智能体行为合规，而是明确划定允许的操作范围。

　　自主智能体AI的商业价值巨大，能够在分散的企业环境中实现持续自动化运行，统筹工作流、监控系统，其规模与效率远超人工操作。

安全管控平面

　　在医疗等可能推动私有AI（也称主权AI）普及的领域，智能体能在受控环境中分析敏感健康数据；在金融领域，可实现实时业务处理；在工程领域，可完成系统自主运维。

　　但对任何企业而言，没有安全管控，这一切都无从谈起。成功落地自主智能体AI的企业，并非采用最先进模型的企业，而是具备完整自主智能体管控能力的企业。

　　市场已开始做出响应，NemoClaw等方案标志着行业转向在执行层内置安全能力。智能体平台正从应用程序转变为自带策略执行与隔离机制的受控环境。需要提醒的是，NemoClaw 目前仅为内测版本，后续仍有大量优化空间，企业应用互操作性、MCP安全短板等问题依然存在。值得肯定的是，安全缺口正在缩小，且厂商将安全作为赋能手段的初衷十分积极。

针对OpenClaw的使用建议

　　我的建议简洁实用，落地速度远快于等待治理委员会决策、制定OpenClaw战略或监管政策出台。首先，必须把智能体视作数字化员工、协作伙伴，而非技术工具。

　　限制智能体的访问范围和影响范围，最小化全域权限，不因其自主决策而放宽管控。默认遵循最小权限原则，融入零信任架构（如已部署）。收紧API权限范围，默认只读，写入操作需明确授权。实施严格的资源管控，缩小自主执行范围，在预设阈值内小幅调整。

　　若智能体出现异常行为，其影响范围由你设定的边界决定，而非被遗漏限制的权限。所有生产环境智能体都需明确责任归属：例如智能体使用的身份、该身份对应的权限、凭证配置人及有效期。限制智能体的获取与记忆内容，所有来自信任边界外的数据，均默认为不可信，需经专项验证后方可使用。

　　我有两位好友专注于网络安全领域的团队协作、沟通与信任搭建培训。几年前我就建议他们增加人机高效协作与沟通的课程。因为我相信，当我们为智能体明确角色与职责，并辅以人工监督，对智能体的信任将至关重要。

　　最后回归现实：不谈AI词元成本的商业问题，只说生产力认知。自主AI智能体提升生产力的效果，会在管理智能体本身成为工作负担时戛然而止。当监管投入的精力超过其替代的工作量，就该重新评估信任模型了。