上交大团队发布可信版OpenClaw

澎湃科技（www.thepaper.cn）日前获悉，针对OpenClaw 的系统性安全风险，上海交通大学计算机学院（网络空间安全学院）副教授王烁带领 的LoCCS 实验室团队推出了一套面向企业场景的可信化改造方案。该方案通过能力按需激活、权限前置治理、风险分级执行、结构化记忆和证据链审计等机制，将安全与可信从模型层的软约束，升级为系统层的硬能力。

上海交通大学计算机学院（网络空间安全学院）副教授王烁带领的LoCCS 实验室团队推出了面向B端企业安心版本的OpenClaw

企业装“虾”，最怕的是安全问题

在王烁看来，过去几年，大模型驱动的内容智能已经深刻改变了内容创作、搜索推荐、文档分析等工作方式，但整体上仍停留在“反应式 AI”阶段——模型可以写出一份几乎完美的脚本，却无法真正自主按下回车键。

“这就像一个坐在副驾驶上的顾问，只能提出建议，却碰不到方向盘。”王烁说，“而现在，AI 代理正在向‘主动式 AI’演进。它直接坐在工位上，握着鼠标和键盘，拥有系统级权限，能够接管绝大多数数字化操作。”

但OpenClaw 目前还被不少企业视为“高能力与高风险并存”的工具。王烁表示，当前企业使用 OpenClaw 的最大的顾虑就是安全问题。“它开放了较多接口和调用通道，这意味着外部工具、插件乃至本地文件系统都可能被接入；它又具备较高权限，能够删除、转发文件，甚至触达更敏感的数字资产。”

在他看来，OpenClaw 当前面临的核心风险主要包括三类：其一，间接提示词注入。攻击者无需直接攻击用户，只需在网页、插件或外部内容中植入肉眼不可见的恶意指令，就可能诱导 AI 窃取私钥文件、敏感文档等信息；其二，模型幻觉。原本用于“清理临时文件”的正常指令，可能在误判之下演变为破坏性操作；其三，默认端口暴露与安全配置缺失。尤其在云端部署场景下，如果接口和权限边界管理不当，就相当于“把保险柜搬到大街上，还插着钥匙”。

不做“花瓶式”防护 把 OpenClaw 变成“省油版”落地

针对 OpenClaw 的系统性安全风险，王烁团队认为，不能用简单粗暴的“一刀切”方式禁用权限，也不能把安全完全寄托于模型“自觉”。如果防护机制只停留在表面，最终只会变成“花瓶式”安全：看起来合规，实际上既挡不住风险，也拖慢执行效率。

对此，团队提出的改造思路是：第一，尽量把安全边界前置，避免把关键判断全部交给模型；第二，让复杂能力默认不常驻，减少上下文膨胀带来的误判；第三，关键结论必须具备证据链，避免产品“看起来会做”，但结果无法复核。

基于这一思路，王烁团队为 OpenClaw 设计了多层加固方案。

首先，是建立更清晰的“自我认知”机制，使系统能够区分用户真实指令与外部环境中的潜在恶意指令，从而提升对提示词注入攻击的抵御能力，避免盲目执行被污染的命令。

其次，是对可调用的 API 与功能模块进行认证和分级，明确哪些指令属于可信调用，哪些操作属于高风险范围；对于高风险任务，则要求前置审批、隔离执行，或在受控环境中完成。

最后，是引入全流程复盘与审计机制，安排“审计员”持续跟踪每一个敏感操作。从处理的数据、执行的动作，到生成的结果、可能带来的风险，系统都会形成完整审计链条；一旦审计不通过，任务流程将被立即中止。

在王烁看来，这套方案的核心，不是简单“减少能力”，而是把复杂度留在系统内部，把最小必要信息留给模型，在提升安全覆盖面的同时，提高执行确定性和结果可信度。

除了安全加固，团队还推进“大小模型协同”的调度机制，根据任务复杂度动态分配模型资源：简单任务由轻量级模型处理，复杂任务再调用大模型；同时，针对具体任务对大模型进行“瘦身”，裁剪掉冗余能力，只保留完成任务所必需的功能。

“我们现在用 OpenClaw 去完成一个很简单的任务，可能一个月就要花掉几千块。对初创团队和中小企业来说，这样的成本并不轻。”王烁表示，团队希望通过按需调用、模型裁剪和任务定制，把它做成一个更适合落地的“省油版 OpenClaw”。

在他看来，真正阻碍 OpenClaw 企业落地的，不只是“能不能用”，而是“能不能安全地用、低成本地用、持续地用”。

从“最后一公里”到“最后100米”

王烁认为，如果 OpenClaw 的出现，打通了 Agent 创业和落地的“最后一公里”，那么当下行业要解决的，实际上是更现实的“最后100米问题”：它到底能不能把工作干好，能不能在真实业务中稳定交付结果。

围绕这一点，王烁表示，团队接下来将重点攻克三个方向。

一是测评驱动。先对 OpenClaw 进行全面测评，明确其能力边界、风险边界和可优化空间；

二是能力提升。针对 OpenClaw 做不好的任务，分析问题究竟出在理解、规划、执行还是工具调用环节，并通过定向构建高质量数据进行补强；

三是持续优化。让 OpenClaw 在使用中不断学习、反思、迭代，实现边用边改、边跑边进化。“以前互联网时代创业，要找开发、烧钱、烧人、烧时间。”王烁说，借助 OpenClaw 这类工具，一个想法加上一轮验证，短时间内就可能搭出一个相当完整的前端，后端流程也能快速对接，创业门槛正在被大幅压低。

在他看来，企业利润的来源也可能随之发生变化。过去，软件公司的收入更多来自订阅费；未来，部分产品的商业模式可能转向“API 调用费 × 调用次数”。这意味着，软件业的底层逻辑正在被重新改写。

不过，王烁也强调，OpenClaw 所代表的生产力变革并不意味着“单兵作战”。对于今天的创业者来说，首先仍需要供应链支撑，包括开源平台、硬件基础设施、垂直领域模型和算力资源；其次，还需要找到明确的场景匹配，用 OpenClaw 去解决具体问题，形成可复制的微生态；再往后，则是不同 AI 代理企业之间的协同，共同完成更复杂的工作流。

“这本质上是一场生产力组织方式的变化。”王烁表示，当越来越多共性需求可以被拆分、共享和协作完成，算力可以共享，数据可以合作，订单也可以分包与众包，行业就会从过去的供应链协同，逐步迈向更大的生态协同。