权威预警连发！OpenClaw暗藏安全隐患，国投智能扛起央企安全责任

来源：市场资讯

（来源：国投智能股份）

近期，开源AI智能体OpenClaw凭借本地私有化部署、自主执行系统操作、全场景自动化任务处理等核心能力，迅速成为AI技术落地应用的热门选择。然而，伴随其普及规模持续扩大，产品暴露出的系统性安全风险也引发高度关注——工业和信息化部网络安全威胁和漏洞信息共享平台、国家计算机网络应急技术处理协调中心（CNCERT）相继发布重磅安全预警。

作为网络空间安全与社会治理领域国家队，国投智能股份始终将保障国家网络安全、维护公众数字权益、推动AI产业合规发展作为核心社会责任。面对AI智能体爆发式发展带来的新型安全挑战，国投智能股份第一时间响应国家权威预警，深度研判风险根源、整合核心技术积淀，推出全周期安全防护方案，以专业实力与责任担当，为AI技术创新与产业应用筑牢安全屏障。

爆火背后的安全隐忧

OpenClaw为实现自主操控计算机、完成复杂任务的核心功能，在部署与使用中被授予较高系统权限，叠加默认安全配置脆弱、信任边界模糊、第三方生态审核缺失等先天设计问题，形成了多重不可忽视的安全隐患。

其一，高危漏洞频发，系统易被恶意接管。产品迭代期连续曝出多个高中危远程代码执行漏洞，反向代理配置缺陷可直接导致认证绕过，攻击者无需复杂操作即可获取系统完全控制权，让设备沦为“肉鸡”。

其二，插件生态投毒，供应链风险突出。其技能插件市场内超3100款插件中，近10%为恶意投毒样本，未经审核的插件可实现数据窃取、木马植入、系统破坏等恶意操作，成为网络攻击的重要突破口。

其三，提示词注入攻击，数据无感知泄露。攻击者可通过恶意网页、邮件、文件构造隐藏指令，诱导OpenClaw执行越权操作，直接泄露系统密钥、核心数据及个人隐私信息。

其四，权限失控误操作，核心资产不可逆损失。为追求便捷性过度授予管理员权限，AI易因指令误解触发删除、修改等高危操作，导致业务数据、重要文件永久丢失。

目前，谷歌、微软、Meta等全球科技企业已全面禁止员工在办公环境使用该产品，将其定性为“具有持久凭据的不可信代码执行环境”，其安全风险已获得全球业界高度警示。

版本更新绝非“一劳永逸”的安全护身符

针对行业内普遍存在的“更新至最新版本即可消除安全风险”的认知误区，中国信息通信研究院权威专家明确指出：版本升级仅能修复已知漏洞，无法根除AI智能体本地运行、自主决策、高权限调用带来的原生安全隐患。

即便完成版本更新，公网暴露、明文存储密钥、生态监管缺失等问题仍会让设备处于攻击风险之中。网络安全是动态攻防的持续过程，不存在“一次升级、永久安全”的解决方案，唯有坚持最小权限、主动防御、持续审计的核心原则，才能有效防范各类安全风险。

国投智能股份以技术与责任筑牢安全屏障

践行国家队使命，扛起社会责任，是国投智能股份始终坚守的发展初心。面对OpenClaw带来的AI智能体安全新挑战，国投智能股份立足电子数据取证、新网络空间安全、AI安全治理核心技术积淀，全全面履行安全保障与社会责任。

公司旗下安胜网络推出的星盾多源威胁检测响应平台，以全域可视、智能研判、极速响应的核心能力，精准破解OpenClaw带来的安全困局，为企业构建全链路安全屏障。针对OpenClaw部署场景，星盾可实时监测异常行为、自动响应处置，防范越权执行、指令滥用、凭证窃取等风险，同时实现WebSocket连接专项防护，筑牢AI通信链路安全底座。该平台网络攻击精准拦截率达99%，已在二十余家央国企落地。

针对OpenClaw生态中日益增多的0day漏洞与未知威胁，星盾的主动威胁狩猎能力化被动为主动。安全团队可基于平台提供的全域数据与威胁情报，结合OpenClaw的攻击特点设定狩猎假设，通过AI增强分析主动挖掘潜伏在系统中的隐蔽威胁，提前发现并处置恶意Skills、提示词注入等新型攻击，在黑客发起实质性破坏前筑牢防线，真正实现“防患于未然”。

电子数据取证方面，公司业务市占率超55%，技术完全自主可控，可针对OpenClaw相关攻击、数据泄露事件形成溯源取证方案，协助公安等监管部门办案。内容安全领域，AI鉴真技术能够有效识别OpenClaw生成的深度伪造内容，防范AI欺诈。

公司推出的天擎大模型，作为国内首个双备案公共安全垂类大模型，可分析OpenClaw攻击路径并自动生成应急处置方案，提升风险响应效率；Qiko平台提供可视化安全编排，支持OpenClaw类智能体的权限管控、操作审计与安全加固，满足相关法律法规合规要求，已在政企客户落地。

同时，国投智能股份积极参与AI安全行业标准制定，推动建立健全智能体安全评估与监管机制，引导行业摒弃“裸奔式”创新，助力AI产业在安全合规的轨道上健康发展。

AI智能体规范使用六大核心原则

结合国家权威部门安全建议与专业攻防实践，国投智能股份同步向全行业发布AI智能体规范使用指引，倡导各类用户严格遵守：

一是仅从官方正规渠道获取产品，拒绝第三方镜像与篡改版本；

二是严禁将服务暴露于公网，远程访问采用SSH/VPN+强认证方式；

三是严格遵循最小权限原则，禁用管理员账号运行，隔离部署环境；

四是审慎安装第三方插件，拒绝要求执行脚本、输入密码的未知插件；

六是建立常态化审计与漏洞排查机制，持续关注官方安全公告，及时处置风险。

坚守安全初心，护航AI产业健康发展

安全是技术创新的底线，责任是产业发展的根基。AI智能体作为数字经济发展的重要创新方向，其安全合规发展离不开专业技术支撑与社会责任践行。

未来，国投智能股份将始终牢记国家队使命与社会责任，紧跟国家网络安全战略部署，持续深耕网络空间安全与AI安全治理领域，不断升级技术能力与服务体系，为个人用户、企事业单位及关键行业提供全方位、高等级安全保障。我们将以安全护航创新、以责任守护发展，为国家数字经济高质量发展、网络空间安全稳定贡献坚实力量。