把“龙虾”交给云厂商圈养，能打消安全顾虑吗？

当AI“养龙虾”掀起全民热潮，监管部门和安全机构近日密集发出风险警示，一些企业和高校也下达“养虾”禁令。面对这种“想用却又不敢用”的痛点，云厂商试图给用户提供“安全养虾”的方案。

3月12日，火山引擎宣布升级“养虾”安全解决方案。其核心思路是把OpenClaw（俗称“龙虾”）从本地搬到云端部署，并设置一系列安全护栏。

OpenClaw是一套免费开源的智能体框架，任何人都可以公开下载其源代码后进行本地部署。从部署到使用的过程又被叫做“养虾”。OpenClaw底层接入的基座大模型赋予其逻辑推理能力，用户可以选配不同模型厂商的产品；配置的各种“技能（Skills）”插件则让它能调用外部工具，自主完成各项任务。Skills属于封装了特定任务执行逻辑的能力单元。

但OpenClaw存在能力水平与安全性之间的悖论：权限越大，能力越强，但越不安全。

由于“龙虾”获取了较高的权限，一旦它运行出错或被劫持，轻则文档被删，重则电脑访问权限完全沦落他人之手。而且，Skill插件也成为“投毒”对象，实践中已有恶意的开发者在Skill安装包中植入木马。面对“养虾”的这些安全隐患，工信部、国家互联网应急中心、国家工业信息安全发展研究中心等诸多机构接连发出警告。

如果说个人尤其是技术“小白”本地部署OpenClaw容易引狼入室，那么，把“龙虾”交给有安全防护能力的云厂商“圈养”，能否解决后顾之忧？

火山引擎在3月9日上线一款云端SaaS（软件即服务）版的OpenClaw——ArkClaw，目前面向开通了“火山方舟Coding Plan pro”的订阅用户。这款订阅产品首月49.9元，后续每月200元。用户在ArkClaw上养的“龙虾”，可以一键接入飞书等办公通信软件。

火山引擎方面称，OpenClaw带来了强大的Agent能力，但无论是云端还是本地部署都需要复杂的环境配置，并且手动配置API Key等繁琐流程，对非技术用户门槛较高。在实际使用时，开发者也常常会面临重启后对话记忆清空、进程中断、会话故障。相比之下，ArkClaw可以在网页端开箱即用。

官网显示，ArkClaw“龙虾”可调用的主流模型包括豆包Seed 2.0系列、Kimi2.5、MiniMax2.5和智谱GLM等。其中，豆包Seed 2.0系列发布于2月中旬。评测显示，该系列模型在推理与规划，意图理解与指令遵循等能力上表现突出，为智能体处理多步骤的长链路任务打下基础。

据火山引擎官网介绍，ArkClaw已预置部分常用技能，可根据任务需求自动匹配调用。同时，ArkClaw还支持通过火山引擎专属Skill Hub、ClawHub（OpenClaw提供的 Skills商店）等渠道安装各类技能插件。

安全性，是火山引擎推出ArkClaw首要解决的问题。3月12日，火山引擎安全产品负责人刘森接受南都等媒体采访时表示，对于普通软件，可以通过审核它的代码逻辑，确认其每一步的操作和行为。但大模型驱动的“龙虾”或者智能体，从指令输入到执行操作的过程存在一定的不确定性，也就是所谓“黑箱”。如此一来，对待“龙虾”，更像对待一名能力比较强但不太懂企业操作规范的员工一样，采取系统的安全治理方法。

沿着这样的治理思路，刘森介绍了火山引擎在约束“龙虾”上的五项关键做法：

• 控制访问权限。每只ArkClaw“龙虾”都自带独一无二的身份标识，每次访问相关系统或内容时，系统都会对其行为进行审计，并校验其是否具备相应权限，从而设立起安全栅栏。

• 避免敏感信息泄露。严格检查收到的每一条提示词，检测其中是否存在敏感信息泄露的风险。以用户询问“银行卡号和密码”为例——“龙虾”首先确认提问者是否为已绑定的主人。如果不是，这类问题将直接予以拒绝。即使是主人提出，如果该信息最终将被发送到群聊中，“龙虾”也会对敏感内容进行脱敏处理，防止信息在群内传播时造成泄露。

• 对指令输入环节进行校验，避免遭提示词注入攻击，同时阻断高危行为。比如收到“清理电脑磁盘上所有文件”这类明显不正常的指令需求，或者访问外部存在病毒的网址等，都被纳入高危操作范畴。

• 避免“龙虾”接触有害的Skills。审核ArkClaw上的各类第三方Skills安装包，确保其无害可信。

• 为“龙虾”的工作环境设置“门禁”。好比公司办公场所需要门禁和保安，“龙虾”也应杜绝外部非法入侵，避免端口对外暴露。若有出现漏洞，予以及时修复。

按照火山引擎方面的类比，把“龙虾”养在本地电脑上，就好比聘请了一位能力强大但背景未知的“贴身保镖”。但这位保镖的“职业素养”和“防范意识”高度依赖于用户个人的安全知识水平。而把“龙虾”运行在专业的云端托管环境，则更像是把专业安保工作外包给一家拥有严格管理体系和先进设备的大型安保公司。

即使有了这么多安全防护，如果“龙虾”依然办事出错，后果谁来承担？刘森向记者解释，每只ArkClaw“龙虾”的唯一身份标识，可用于后续对其全链路行为的追踪和审计。如果发生某起安全事件或损失，定责的前提是要明确问题的根因：究竟是由使用者的指令所引发，还是因为“龙虾”被攻击、内容遭投毒而执行了破坏行为，或是由模型自身的幻觉所导致？

刘森表示，全链路的透明化审计，为后续划定主体责任提供了可行性。他强调，火山引擎对“龙虾”的运行日志具备全链路加密能力，确保所有日志都无法被篡改——即便是系统管理员或“龙虾”自身也不例外。

当安全性得到一定程度保障，一项担心在于，“龙虾”会不会因此能力降级？刘森对此回应称：“并不是说有了安全，它的能力或者效率一定会降低，或者能力会被阉割掉。两者并不矛盾。”他解释说，只有通过完善的安全防护，构建可信可靠的运行环境，用户才敢于把更多的事情托付给“龙虾”，养的“龙虾”也才能发挥越来越大的效益。

不过，把“龙虾”交给云厂商“圈养”，并不意味着用户可以高枕无忧了。火山引擎方面提醒，用户依然需要保护好登录云平台的账号密码，谨慎授予AI助手高级权限，并做好数据的分类，为敏感数据配置更严格的访问权限。

采写：南都N视频记者 杨柳