野生龙虾和国产龙虾，不是一个东西

赛格特约作者 苏问渠

一个有意思的矛盾正在上演。

一边，是腾讯、阿里、字节、小米等大厂争先恐后地拥抱OpenClaw，把它集成进自家产品线，恨不得每个App都长出一只智能体触角。另一边，是工信部和网信办接连发出风险提示，措辞审慎，几乎是在对着整个行业说：别跑太快，小心摔跤。

工信部旗下监测平台曾于2月5日发出漏洞提醒

到底该听谁的？答案可能没有多数人想的那么二元——因为这两件事指向的，根本不是同一个东西。监管警惕的，是原生OpenClaw的"裸奔式"部署；大厂们推出的，是经过产品化改造和安全加固后的"穿了铠甲"的版本。

这中间的差距，不是程度差异，而是质的飞跃。

OpenClaw原生态，到底有多“野”

要理解龙虾国产化为什么是一次安全升级，首先得看清楚原生OpenClaw的问题到底出在哪。

OpenClaw本质上是一个开源的智能体编排框架，设计初衷是灵活、可扩展、高自由度。这三个词翻译成安全语言就是：权限边界模糊、数据流向不可控、攻击面极大。

具体来说，至少存在四个结构性漏洞：

第一，插件系统的信任链是断裂的。OpenClaw允许用户自由安装第三方插件，而这些插件可以获取聊天上下文、调用外部API、甚至读写本地文件系统。一个恶意插件，就能把你的对话记录、API密钥、甚至系统文件打包外传。社区已经出现过多起"伪装成翻译插件实则窃取token的案例。

第二，提示词注入防护几乎为零。原生框架对用户输入没有做系统级的过滤和隔离。精心构造的提示词可以“越狱”智能体的角色设定，诱导它执行非预期操作。在企业场景下，这意味着一个外部用户可能通过对话窗口，套出内部知识库的敏感信息。

第三，数据持久化缺乏加密。对话历史、用户偏好、知识库索引，在默认配置下以明文存储。个人用户把龙虾部署在自己的NAS或云服务器上，一旦服务暴露在公网，这些数据就是敞开的。

第四，没有审计日志和行为监控。智能体调用了什么工具、访问了哪些数据、做了什么操作——原生框架不记录，也不告警。出了问题，你甚至不知道从哪查起。

这不是OpenClaw的“缺陷”，不过是开源项目的通病——只提供能力，不提供边界。

龙虾国产化，大厂做了什么？

国内大厂纷纷接手OpenClaw后，做的并不是简单的“汉化+换皮”，还在安全架构层面进行了系统性的重建。

以反应最为迅速的腾讯动作为例，它一口气推出了5个龙虾产品，覆盖了从个人到企业、从轻量到专业的完整光谱，其中最引人注目的是QClaw——因为它涉及微信生态，相关的安全问题被受瞩目。（对微信正在研发的智能体，暂且不论）

微信是14亿用户的社交基础设施，承载着支付、身份、社交关系链等最核心的隐私数据。在这个生态里接入智能体，安全标准必须是核武器级别的。

据公开信息，QClaw采用了沙箱化插件运行环境，所有第三方能力在隔离容器中执行，无法触及宿主系统；对话数据端到端加密，运维人员也无法查看内容；同时内置了多层提示词注入检测，用对抗模型实时扫描用户输入中的恶意指令。

腾讯的谨慎不是因为技术保守，而是因为它输不起。毕竟微信出一次安全事故，代价不是品牌受损，而可是系统性的信任崩塌。

腾讯、字节、阿里、智谱等纷纷推出自己的“国产版龙虾”，图为腾讯推出的 WorkBuddy，带有浓厚的工程师范儿

阿里的做法侧重模型层安全，在通义千问底座上加了内容安全过滤和幻觉检测，从源头降低智能体“胡说八道”或“泄露不该说的话”的概率。

小米则聚焦在端侧隔离，利用自研芯片的TEE（可信执行环境），让部分推理在本地安全区域完成，敏感数据不出设备。

至于所有的云厂商，不管哪家，都在强调企业级权限管控。每个智能体的数据访问范围严格跟随飞书的组织架构权限，A部门的智能体看不到B部门的文档，管理员可以精确到字段级别控制数据暴露面。同时所有智能体操作留痕，保留完整审计日志。

产品不同，路径不同，但大家方向一致：把开源框架的自由度，收束进可控的安全边界里。

安全是有价格的，而这恰恰是价值所在

很多人会问：我自己部署一个原生OpenClaw不香吗？免费、自由、不受约束。

这当然可以，但你需要想清楚一件事：网络安全是有价格的，不为之埋单，就可能意味着一场不可承受之灾难。

大厂的云端部署本身就提供了物理级隔离——你的数据跑在专有的容器集群里，有DDoS防护、入侵检测、WAF（Web应用防火墙）和定期的渗透测试。这些基础设施，一家企业自建的年成本是六位数起步。

而个人用户呢？很多人是直接在主力机上跑Docker，日常办公、私人文件、AI智能体共享同一个操作系统环境。一旦智能体被注入恶意指令，攻击者触达的不是一个聊天窗口，而是你的整台电脑。

这就像在自家客厅养了一只龙虾，和在水族馆的专业缸里养一只龙虾——生物是同一只，但风险等级完全不同。

也因此，官方的风险预警，主要提醒的是盲目跟进的技术小白，既缺乏安全防护认知，又不愿意为安全支付价格。

对普通用户的几点提示

龙虾热还在持续，但降温之前，有两句话值得记住。

第一，尝鲜的门槛确实不高，几十块钱就能跑起来。但要真正从中获得收益，你需要找到一个具体的、可重复的、能产生价值的使用场景。没有场景的智能体，就是一个昂贵的聊天玩具。

第二，安全方面，如果你选择自行部署，请至少做到以下几点：

• 不要在主力设备上裸跑，用独立的虚拟机或容器隔离，比如 Mac mini；

• 最小权限原则，智能体只授予完成任务所必需的权限，不要图省事全部打开；

• 不要向智能体喂入未脱敏的敏感数据，包括身份信息、密码、财务数据；

• 定期审查插件来源，只使用经过社区验证的插件，拒绝来路不明的第三方扩展；

• 保持更新，安全补丁发布后第一时间升级，不要停留在"能用就行"的旧版本上。

如果说由海外开源社区开发的OpenClaw 是野生龙虾，那么国内大厂就是对龙虾进行了驯化和豢养，但不管野生的还是养殖的，工具终归是工具，是个锤子，就有可能砸到自己的手。最终能否创造出价值，取决于用户能否善用它。