环球问策：“小龙虾”走红 安全风险如何成为Agent普及的第一道关卡

来源：环球网

【环球网科技报道 记者 李文瑶】“小龙虾”火了。

这个被科技圈戏称为“龙虾”的AI Agent产品OpenClaw，正在以惊人的速度进入开发者和普通用户的电脑。它能自动处理邮件、整理文档、调用各类工具，甚至帮用户完成跨系统的复杂任务。

但伴随而来的，是一个被反复提及的追问：我把电脑交给AI，它会不会把我的文件删光？会不会把我的密钥泄露出去？

“AI Agent本质上是一个不会疲倦、会自动化执行的超级用户。如果它在终端上安装后被攻破，就相当于攻击者完全获得了这个终端的电脑权限。”腾讯iOA产品运营负责人刘登峰如此形容这一风险的严重性。在他看来，当AI从“回答问题”走向“执行任务”，安全问题正从技术细节升级为决定应用能否规模落地的关键变量。

风险拆解：权限过大、供应链投毒与数据外泄

在腾讯安全团队看来，以OpenClaw为代表的AI Agent产品，其核心风险源于三个特性：权限过高、自动化执行、运行过程不透明。

刘登峰在采访中将OpenClaw的安全风险归纳为两个核心方向。第一是权限过大带来的失控风险。AI Agent在终端上通常被赋予高权限，能够访问文件、调用系统指令、操作网络资源。它本质上是一个“不会疲倦、会自动化执行的超级用户”。一旦被攻破或误用，攻击者就能获得终端电脑的完整权限，进而横向渗透到企业内网。

事实上，在Agent执行任务的过程中，用户很难实时追踪它访问了哪些系统、获取了什么数据。即使发现问题，Agent的执行速度是分钟级的，风险已经发生。

第二是Skill供应链的投毒与滥用风险。用户为扩展Agent功能，通常会从外部下载各类Skill插件，比如PDF转换、天气查询等。攻击者可以将恶意文件伪装成正常Skill，诱使用户安装。对于普通用户甚至企业员工而言，自行辨别Skill安全性几乎不可能。

“只要依赖Skill插件，就会存在这样的问题。”刘登峰强调。

腾讯云安全副总经理谢奕智则从更系统的视角拆解了Agent的安全风险层次：配置不当导致服务暴露互联网、操作系统层面的高权限行为、网络层的内网访问风险、供应链层面的恶意Skill、身份层面的密钥泄露，以及大模型本身的提示词注入。这六层风险相互叠加，构成了AI Agent时代特有的安全挑战。

防护策略：从“一刀切”到精细化管控

面对这些新风险，安全产品的设计思路正在发生转变。腾讯安全团队认为，解决方案应该覆盖企业端和个人端两个场景，并从事前、事中、事后三个维度构建防护体系。

目前，在企业端，腾讯iOA的应对策略分四个场景展开。

场景一是“禁用”。腾讯iOA提供的方案包括：检测终端上有多少人安装了Agent、禁止运行、弹窗提醒卸载，甚至支持远程卸载。刘登峰现场演示了通过控制台一键配置策略，无论是针对具有独立安装包的软件，还是针对通过命令行安装的OpenClaw，都能实现精准拦截。

场景二是“运行时监控”。对于愿意主动拥抱AI的企业，腾讯iOA通过EDR技术对Agent的进程链、高危指令进行全流程监控。现场演示中，当恶意的Skill下载后试图执行高危PowerShell命令时，系统立即生成告警并提供完整的溯源图谱。

场景三是“高危Skill入侵防护”。针对Skill供应链风险，腾讯iOA构建了多重检测引擎：终端杀毒引擎做第一轮筛查，后续补齐云端沙箱检测和大模型智能判断，帮助企业识别哪些Skill存在安全风险。

场景四是“数据外泄拦截”。刘登峰强调，在Agent时代，防泄密的重点不再只是防止用户拷走文件，还要防止Agent在加工、总结、生成过程中将敏感信息外泄。现场演示中，当Agent尝试读取敏感文档并通过IM通道发送时，系统立即拦截并弹窗提示，同时记录详细的审计日志。

值得关注的是，腾讯iOA在动态访问控制上引入了“人机分离”的逻辑。现场演示显示，同一用户可以直接访问内网资源，但当他通过OpenClaw调用同样的访问时，系统会拦截。这种精细化管控，正是零信任理念在Agent场景下的延伸。

在个人端，腾讯电脑管家推出了“龙虾管家AI安全沙箱”功能。高级产品经理董京介绍，该功能围绕三大防护点展开：一是通过沙箱技术限制Agent对电脑文件、网络、摄像头的访问权限，“把龙虾的手脚捆住”；二是对Agent执行脚本进行实时安全检测，防止因幻觉或命令错误导致误删文件等操作；三是检测Agent自身漏洞并及时封堵。

此外，沙箱还会记录Agent运行过程中的完整日志，包括访问了哪些网络、调用了什么文件、做了哪些操作，让用户对Agent行为“一目了然”。

行业转变：从被动防御到主动治理

这场关于“养虾安全”的讨论，折射出AI应用深化后安全行业的深层变化。

安全的重心正在从“防入侵”转向“防越权”。刘登峰指出，过去安全建设聚焦于防止终端被入侵、办公网被攻破。但在Agent时代，很多风险不是“黑进来”的，而是“本来就有授权，但授权过多导致失控”。用户给了Agent一个任务，可能无意中授予了过高权限，Agent在执行过程中可能偏离原始意图。这意味着安全建设需要从单纯的防御外部攻击，转向最小权限、动态控制、高风险动作二次确认。

保设备转向保数据。即使设备没有被直接攻破，数据也可能在正常的业务流程中被带出去。OpenClaw具备访问互联网的权限，可以读、写、总结、生成、联动，这会接触到大量上下文。终端防护不仅要防止文件被拷走，还要防止Agent加工后敏感信息外流。

安全与体验不再对立。刘登峰认为，安全本身可以成为一种用户体验。未来用户使用Agent时，有些边界默认被关闭，有些操作自然不被允许，这将是逐渐习惯的过程。“安全无处不在，但用户却感受不到它的存在”，这正是产品设计追求的方向。

安全正成为Agent采购的前置条件。谢奕智观察到，过去企业通常是先买业务软件，有安全问题再补安全产品。但这次不同，用户在购买企业版Agent时，普遍希望“把安全带上”。“龙虾”的安全风险是“由内而外”的、内生于产品形态的，这让用户对安全的关注度比传统场景更高。

至于经济周期对安全投入的影响，谢奕智的看法是：如果客户自身业务受到影响，安全投入自然会收缩；但若业务稳定或增长，安全预算仍有保障。整体而言，影响存在，但未如预期那般剧烈。

未来走向：密钥沙箱、数据备份与生态成熟

面对记者关于“普通人何时能像装微信一样装龙虾”的提问，董京的回答是：腾讯QClaw已经做到了开箱即用，官网下载安装即可，不需要复杂的命令行操作。

但开箱即用的同时，安全能力仍需持续进化。谢奕智透露，腾讯云即将推出密钥沙箱服务，让Agent从根源上拿不到密钥，彻底解决密钥泄漏风险。此外，针对用户担心“机器搞坏了”的焦虑，数据定期备份能力也已在规划中。

对于当下是否应该立即部署Agent，刘登峰的建议是因人而异。个人用户可以尝试，企业用户则可参考工信部发布的“六要、六不要”指导原则。若选择使用，建议更新到最新版本，避免开放过度暴露。

从更长远看，AI Agent的普及正在倒逼安全技术迭代。无论是Skill检测、沙箱隔离，还是动态访问控制，都是安全行业为应对“AI执行任务”时代所做的准备。当AI学会“养虾”，安全不再是事后补救，而成为应用落地的前置条件。

正如刘登峰在采访中所说：“Agent如果未来真的要大规模使用，安全肯定是无可避免要考虑的。”