把准AI安全之“脉”　中国电信重塑企业安全新范式

当OpenClaw（“龙虾”）等AI智能体以“数字员工”的身份渗透进企业的研发、运维与职能部门，一场关于效率与安全的博弈正悄然上演。此前，由于OpenClaw智能体的不当安装和使用，提示词注入、误操作、功能插件（skills）投毒、安全漏洞等安全风险被工信部专项警示，这给所有企业敲响了警钟：AI智能体的“越权”带来的安全风险正在积聚。

企业该如何在拥抱智能生产力的同时，守住数据安全的底线？第九届数字中国建设峰会期间，中国电信发布云脉SASE智能体护栏，面向AI加时代的企业办公场景，聚焦AI应用安全治理，提供覆盖发现、审计、管控、合规检测四大环节的全场景安全能力，实现对AI智能体、AI工具、企业AI应用及核心数据的全生命周期管理与防护。云脉SASE智能体护栏等产品的落地表明，中国电信的“安全型企业”建设不仅筑牢了基础设施防护的“主干”，更将触角延伸至AI应用的“毛细血管”，探索一种可见、可控、可治的全新治理范式。

AI浪潮席卷而来，企业安全面临全新考验

随着生成式AI与AI智能体加速进入企业日常办公场景，传统安全防线正遭遇降维打击。过去以边界防护、静态规则和身份管控为核心的办公安全体系，在AI带来的新型风险面前逐渐失效，企业安全面临全新考验。

企业办公安全面临的首个显著问题是“看不见的盲区”。员工私自使用AI工具完成工作已成常态，而管理层对企业内部AI资产状况几乎一无所知，缺乏有效的审计日志，安全管理存在大量盲区。这种“影子AI”的泛滥使得企业不能完全掌握数据究竟流向何处、敏感信息是否已被上传至第三方平台，风险敞口处于失控状态。

更令人警惕的是数据安全风险正在急剧放大。员工在与AI对话中可能无意上传核心代码、客户隐私或企业敏感信息，而终端上AI智能体的Token缺乏脱敏与配置保护机制，进一步加剧数据泄露风险。此外，以OpenClaw为代表的指令执行机制能够绕过现有监管，通过不安全、不合规的策略配置威胁企业数据主权，进一步加剧合规压力。

在更深层次上，传统安全体系的技术底座正在动摇。AI智能体作为新型“数字员工”，其身份管理正面临全新挑战，智能体的权限边界模糊，可在人类授权范围内自主调用工具、访问数据，形成“合法权限下的越权操作”。而大多数安全产品仍依赖静态规则，无法理解员工与AI交互的真实意图，单条告警呈现碎片化线索，日志堆砌却缺乏事件上下文关联，导致内部风险“发现难、分析难、运营难”。

“安全”是AI发展的生命线，这些风险的本质，是AI技术演进速度与企业安全能力建设之间的结构性错配。如何在释放AI生产力与守护数据安全之间找到平衡点，已成为AI时代企业生存发展的必答题。

从“发现”到“合规”，构建企业AI办公安全围栏

面对AI智能体加速渗透企业办公带来的安全挑战，传统的安全边界与治理手段已显力不从心。中国电信云脉SASE智能体护栏的解题思路并非粗暴地“一刀切”禁止，而是通过全生命周期的可视化管理，帮助企业消除“影子AI”盲区、实现行为可追溯、精细化管控风险。

在AI资产可见性方面，云脉SASE通过主动发现能力，借助网络流量分析与终端监控，自动识别员工私自使用的各类AI工具。无论是Web端、客户端还是浏览器插件，所有入口均被覆盖，AI工具可被自动分类、标记并形成完整资产清单。通过可视化统计，企业能够清晰掌握谁在使用哪些AI工具、使用频率如何，彻底告别管理盲区。

在审计层面，提供全链路的AI使用审计能力。会话审计完整记录每一段对话内容并支持全文检索与回放；配置审计深入检查智能体的基础配置、Skill及定时任务；行为还原能够细粒度地还原智能体执行的每一个操作步骤。同时，全链路日志汇聚各类日志数据，打破数据孤岛，为企业提供完整的行为追溯能力，满足行业监管合规要求，有效防止内部恶意配置。

在管控层面，云脉SASE基于零信任架构，为AI智能体建立动态、最小化的权限管理策略，通过网络访问权限、文件目录访问权限、Skill权限、命令行权限等精细化管控，杜绝越权行为，一旦发现敏感行为或高危动作即可实时阻断。通过与威胁情报联动，凭证自动化生命周期管理机制将安全隐患消灭在萌芽状态。

在合规检测方面，产品将复杂的合规工作转化为自动化实时扫描。以OpenClaw规则检测为例，基于OpenClaw指令集，系统能够自动检测不合规的策略配置，并自动生成修复方案，大幅提升合规治理效率与准确度。内容安全过滤功能则在输出侧实时过滤AI生成内容中的敏感信息，自动识别并脱敏源代码、API密钥、内部架构等关键数据，确保企业数据主权不受威胁。

云脉SASE智能体护栏通过建立安全围栏，引导员工更科学、更安全地使用AI，企业既能享有AI带来的生产力提升，又能将核心数据资产的风险控制在安全边界之内。

安全能力全面进阶，护航智能时代安全发展

在人工智能深刻重构生产方式与经济运行逻辑的今天，安全已不再是AI的“附加项”，而是其规模化应用的先决条件。中国电信正通过云脉SASE智能体护栏等产品向外界传递一个明确的信号：在通往智能世界的道路上，中国电信积极参与人工智能安全防护实践，成为 “智能经济的守护者”。

面对AI智能体从“对话智能”向“决策智能”的跃迁，中国电信携手十余家权威机构联合发布业内首部《AI智能体安全治理白皮书》，围绕环境、数据、模型、内容、应用持续完善AI安全治理框架，并提出覆盖全生命周期的33项安全防治措施。

面对智能时代安全发展，中国电信积极投入人工智能安全领域，以息壤平台为核心载体，构建覆盖IaaS至SaaS五个层面的纵深安全防护体系，为AI时代企业安全发展提供坚实保障。同时，构建以云堤抗D、云脉SASE、安全大脑、云镜主机安全等为核心的产品矩阵，加快安全融智。依托“云堤”网络攻击防御平台强化全域端到端纵深防御能力，通过“星辰·见微”安全大模型大幅提升安全运营自动化水平。

为保证模型数据安全可信，中国电信启动“阡陌数聚”计划，从真实攻防场景中提炼覆盖四类风险等级、两千多个风险标签的高质量样本，显著提升模型的场景理解能力和精准防护效果。

为守护模型服务安全，推出国内首款运营商级智能体安全解决方案——天翼智安，以全流程管控、实时防御、行为溯源能力助力用户构建OpenClaw类智能体安全解决方案。

面向智能时代全新的安全格局，中国电信将坚持“技术为本、创新为魂”，以自主可控的硬核科技筑牢防线，以全域覆盖的防护体系守护关键设施，以“云网数智安”融合之力，与各界携手，共塑AI智能体安全新生态，共创智能安全治理新范式。

（图片来源：中国电信供图）