北京
出品|《态度》栏目
作者|汉雨棣
编辑|丁广胜
腾讯正以前所未有的战略决心拥抱OpenClaw。
3月22日,微信正式上线官方“ClawBot”插件,用户可通过扫码将OpenClaw直接接入微信聊天界面。这意味着腾讯的国民级超级入口与前沿AI智能体实现了深度融合,用户发消息即能驱动AI“动手干活”。
回顾一整个三月,腾讯全力“重仓”龙虾。3月6日,深圳腾讯门口“免费装龙虾”的活动火爆全网,3月11日,马化腾在朋友圈首次系统披露了“龙虾”产品矩阵,包括自研虾、本地虾(QClaw)、云端虾(Lighthouse)、企业虾(WorkBuddy)等,被市场视为全面发力的明确信号。次日,腾讯推出OpenClaw安全工具箱,并回应了SkillHub社区的数据抓取争议,事件以腾讯成为社区官方赞助商告终。3月14日,腾讯云宣布启动覆盖全国17个城市的OpenClaw免费安装巡游计划。3月18日的财报媒体沟通会上,总裁刘炽平确认2026年对混元、元宝等新AI产品的投入将至少翻倍,并透露正规划在微信内打造深度联通的专属AI智能体。
腾讯在AI Agent赛道的布局正从单点工具转向全栈基础设施。继接连接入OpenClaw后,腾讯正加速构建覆盖"底层接入-企业治理-安全防护"的完整"龙虾"生态,试图在智能体时代抢占B端入口。
近日,腾讯云安全团队与网易《态度》栏目等媒体就“养虾安全”展开对话,指出在 Agent 时代,企业安全防线的重心须向“最小权限管控、动态零信任与沙箱隔离”全面转移。
腾讯的逻辑很清晰:当Token价格注定如水电般下行时,谁能解决"AI越权操作""API密钥泄露""上下文数据泄密"等治理痛点,谁就能掌握企业级Agent的基础设施话语权。
在Agent从"辅助工具"进化为"自动化执行者"的临界点,安全不再是成本项,而是决定规模化落地的核心基建。
以下为对话实录,经不改变原意的改编:
提问:行业内有一种新观点:未来系统和工具也许不再是由人来使用,而是由AI来操作。在这种底层逻辑改变的情况下,我们的安全防范思路和产品逻辑需要发生哪些转变?
腾讯云安全副总经理、AI Agent安全中心负责人谢奕智:过去工具和软件有丰富的UI界面供人使用,但在AI Agent时代,Agent为了最高效地完成目的,最擅长的反而是调用API和传统的命令行工具 。因此,未来的防范重点在于,当我们把API密钥和命令行权限赋予Agent时,需要基于工作目的同时对密钥的权限进行精准设置 。
腾讯iOA产品运营负责人刘登峰:终端层面的安全防护会面临三个维度的巨大差异:
第一,过去做安全盯的是“用户是谁、能干什么、不能干什么”。现在我们需要盯“AI Agent在替谁行动、具备什么能力、执行动作有无偏离原始意图”。产品设计层面提出了更精细化的要求,因为人可以访问的权限,调用AI时不一定能访问。
第二,过去主要防范终端和办公网被黑客入侵,现在还要防“越权使用”。Agent即使在内网有授权,如果授权过高,它在执行派发任务的中途可能会去干别的事情,导致边界失控且难以察觉 。安全建设重心必须转向“最小权限、动态控制以及高风险动作的二次确认”,这是零信任场景在Agent时代的进一步延伸。
第三,过去终端安全侧重于防中毒、防控制、防勒索 。现在即使设备未被攻破,像OpenClaw这样具备联网权限的Agent,在“读、写、总结、生成、联动”的过程中会接触大量上下文 。我们要保护的不只是终端,更是“哪些数据可以进它的上下文,哪些结果可以复制上传”,终端的防泄密要求比过去变得更高。
腾讯电脑管家高级产品经理董京:针对“龙虾”类工具权限过大、自动化和不透明的核心痛点,主要防范措施有两点 :
第一,改变以前在用户电脑上不存在权限过大的认知,现在重点防范AI权限过大,通过权限和沙箱机制将其管控起来 。
第二,防止AI因为自动化执行而做了用户不知道的事情。通过技术手段做拦截,让它的所有行为清清楚楚、明明白白地告诉用户,以便于轻松管控。
提问:刚才提到QClaw和OpenClaw的工作方式不太一样。国内现在有多种不同的Agent产品,它们在工作方式和潜在风险上有什么差异?
刘登峰:在安装与运行形式上, QClaw等国内产品通常有独立的软件安装包,可以通过官网下载并双击“下一步”完成安装,它们拥有独立的软件进程 。而OpenClaw有一定的安装门槛,通常通过命令行的方式安装和运行。
在拦截技术方案上, 针对有独立进程的国内“龙虾”,走进程拦截是相对不错的方案 。但对于OpenClaw,则需要把识别命令行的方式加上才能有效拦截。
但他们的本质安全风险一致。虽然由于进程不同导致调用工具的方式有细微差异,但从风险层面来看是类似的。它们都能调用浏览器访问网页,这种在终端上的本质风险是一致的,都需要做对应的拦截和检测。
董京:底层技术大同小异: 国内各种“龙虾”在安装方式上做了包装和简化,以求对普通用户更友好 。但在执行任务的技术底层上,无论是国外的OpenClaw还是国内的QClaw、WorkBuddy,都是通过Windows接口、系统级能力或写命令脚本来访问电脑资源。这正是我们提供安全防护的“插入点”。
提问:目前有哪些类型的客户在咨询Agent安全治理?他们目前是否已经推动了采购预算?在实际使用中,最关心哪些细节,是否遇到过严重的安全事故?
刘登峰:金融、能源、运营商、企业、零售等各行各业都有来咨询 。偏金融的强合规客户有明确的禁用诉求,正在协商做POC测试;偏互联网的中型客户则希望快速沟通并测试企业级安全沙箱方案 。预算进展因客户而异。
谢奕智:客户的需求很有意思。政企希望主动拥抱AI,全员发放;游戏、教育行业希望在内部做提效;Web3行业则认为其能创造增量价值,带来直接挣钱的结果。
但客户最关心的细节都集中在网络管控策略怎么做更好隔离、会不会偷走密钥、会不会误删数据 。其中最普遍的两个痛点是“密钥泄露风险”和“避免访问内网权限” 。
针对密钥问题,我们刚刚推出了密钥沙箱服务,让“龙虾”从根源上拿不到密钥 。事故现状与应对: 目前尚未出现非常严重的安全问题,客户主要是担忧“机器搞坏”,希望提供数据备份能力,以便能放手去用 。
我们给企业的建议是:1. 做好网络隔离,不开放不该访问的内网服务;2. 做好数据备份;3. 尽量不给写权限,只给只读的密钥权限 。
提问:部署Agent安全管理的成本大概占什么比例,企业能否承受?
谢奕智:安全性往往意味着成本,为了平衡体验与安全,我们通过技术手段极大降低了使用门槛 。例如,用户一键安装Skills就能享受密钥沙箱保护,也可以一键开启内网隔离功能,这极大地降低了企业保护“龙虾”的成本 。
刘登峰:目前“龙虾”发展处于早期,企业的首要驱动力是风险规避 。对于强合规客户,短期一刀切断掉访问不需要太多成本,逻辑跟买保险一样 。对于iOA老客户,已有能力的延伸是不需要额外付费的;而像Skill检测、本地沙箱等新功能会有新的费用 。未来随着国家合规要求的落地,Agent安全将成为刚需,价格也会由市场需求调节到合理水平。
提问:从广义的网络安全行业来看,近两年整体比较承压。企业在营收不佳时可能不愿在成本项上花钱,安全市场的需求是不是归根到底取决于经济大环境?
谢奕智:核心还是取决于业务基本面, 经济环境确实有一定影响,但并没有想象中那么大 。本质在于,如果客户的业务受经济周期影响较大、出现收缩,认为安全只是附带属性,那安全投入必然会减少 。但如果客户本身的业务发展依然稳定或保持增长,他们在安全这一块的预算一直是有保留和保障的。
提问:“龙虾”自身在不断迭代,我们的安全防护是只能被动跟上,还是已经有主动的规划了?
董京:安全防护分为两个相互配合的层面 :平行的主动防御(不随版本迭代): 我们构建的安全沙箱能力(防止乱读写文件、乱用网络、检测执行脚本),类似于造了一个“隐形的牢房”把AI关进去 。这种底层技术是平行的,不需要跟着OpenClaw的迭代而被动迭代 。动态的被动跟进(漏洞挖掘): 我们需要随着OpenClaw自身版本的迭代,不断完善我们的漏洞检测和挖掘技术,以防范新版本产生的新漏洞 。同时,面对AI行业快速变化涌现的新技术和新“龙虾”,我们也需要不断跟进。
提问:企业在“养虾”(部署AI Agent)时也非常焦虑Token的消耗问题。目前有什么措施能帮助企业更清晰地管理Token?长期来看,Token的价格走向会是怎样的?
谢奕智:从趋势来看,Token的单价肯定是往下走的 。未来如果它能像水电一样普及,形成一定的规模,价格必然会下降,这是一个比较确定性的趋势。我们已经观察到云上“龙虾”专业版用户提出了管理需求 。因此,我们会在企业版里植入对应的管理功能,帮助企业很好地查看员工的Token消耗情况,并提供相应的限速能力。
本文来源:态℃
责任编辑:
李佳_NBJS32032
