新京报贝壳财经讯(记者罗一丹)近期,“蝗虫养殖”(即引入OpenClaw)的火爆备受关注。国家互联网应急中心发布OpenClaw安全应用风险预警,指出如果该类Agent的默认配置缺乏必要的安全限制,攻击者可利用该漏洞绕过防护,完全控制系统,导致数据泄露、企业系统失控等严重后果。 3月11日,针对这一新的安全挑战,360集团发布了国内首个《OpenClaw安全实施与实践指南》(以下简称《指南》),为政府机关、商业机构和个人开发者提供系统的安全参考。 360认为,AI代理越接近成为“数字克隆”,如果受到攻击控制,其破坏潜力就越大呃。因此,在部署初期建立安全机制尤为重要。在《指南》中,360总结了现代AI代理部署面临的诸多典型风险,包括公网管理接口暴露、API密钥等身份凭证泄露、底层shell工具越权调用、词注入攻击、内存模块恶意中毒、第三方技能插件的供应链风险、多代理协作失控等。其中,诱导词注入和插件供应链攻击被认为是最容易被忽视但最具破坏性的新型攻击技术。一旦被利用,atacante 可能会导致代理执行不需要的命令或长时间操纵代理的行为。为了帮助业务团队和OPC创业者在保证安全的情况下使用AI代理,360在指南中提出了“先控制,再提高效率”的原则。本指南位于针对个人开发者和小型团队系统,我们建议您不要直接在具有高权限的本地计算机上运行代理。相反,我们通过容器化技术创建了一个隔离的环境,并结合最小权限策略、密钥加密注入、密钥配置文件防篡改等措施,为OpenClaw奠定了安全的运行基础。这有效地降低了风险而不增加复杂性。针对政企层面的多主体协同应用场景,360提出了基于零信任理念的通用安全架构。在系统外围部署安全网关,统一监控所有进出代理流量,实现数据防泄露。在平台内建立细粒度的RBAC和多租户权限管理机制,实现管理员、安全审计人员、工具开发人员和操作人员之间的权限分离。同时me,座席关键操作日志接入企业安全运营平台,通过行为基线分析快速识别异常操作,并对高危行为进行实时预警和拦截。编辑:杨娟娟、校对:王欣