OpenClaw的风,已经吹进了奶茶圈
企业为什么急着给Agent“递枪”?
在深入探讨安全风险之前,我们不妨先思考一个更根本的问题:像古茗、银泰百货这样扎根于实体服务、看似与前沿AI技术有些距离的企业,为何纷纷投身于这股“养龙虾”的浪潮?
答案,就藏在Agent技术带来的那场本质性变革里。
与仅停留在对话和内容生成层面的传统生成式AI不同,以OpenClaw为代表的Agent,实现了一次关键跨越:从被动交互到自主执行。这恰恰是它能迅速破圈、吸引各行各业目光的根本原因。
正如古茗科技集团网络安全总监刘星光在直播中所言:
我觉得OpenClaw最吸引人的地方,是它是一个自动化的程序。像以前的传统AI,它可能更多的是生成内容、生成图片,它不可能去帮你执行相关任务。但OpenClaw完全不同,它只需要你定一个目标,它就可以真正帮你把东西执行下去。当一次执行不了,它还会尝试第二次,并把问题节点反馈给你。
看,这就是最核心的区别。过去的生成式AI,说到底还是个高级参谋,你需要一步步下达指令,它最终交付的也只是方案或建议,落地执行还得靠人。但Agent不同,它是一个真正的执行者。你只需告诉它最终目标,它会自行拆解任务、调用工具、串联流程、完成闭环,甚至能在遇到障碍时尝试自我解决。
这种能力上的跃迁,带来的是真正的技术平权。无需精通代码,不必理解复杂的系统逻辑,只要能用自然语言清晰描述需求,就能驱动AI完成跨系统、多步骤的复杂工作流程。
阿里云智能集团业务安全负责人郑雅敏的观察更为深刻:
以往人机交互的范式是通过界面或窗口,流程是靠人去串联的。而有了OpenClaw之后,人只需下达一句话,它就能自动拆解任务、智能执行并完成结果。Agent成为了人与数字世界的连接器,让人从繁琐的执行中解脱出来,更关注于高级的思考。
正是这种核心能力的变革,让Agent技术向全行业渗透成为不可逆转的趋势。
从微观的企业组织视角看,Agent正加速从“提效工具”蜕变为“数字员工”,并开始重构工作模式。银泰商业集团安全负责人李亚博引用了一个生动的比喻:
现在的Agent就像给猴子递枪,我们还在摸索。但在未来,Agent可能会变成我们的数字同事。我一个人可能带领着十个数字同事一起干活。
这意味着,未来一个人通过指挥多个Agent协同工作,就能完成复杂的业务闭环,甚至催生出高价值的“一人公司”模式。企业管理的资产范畴,也将从物理资产和人类员工,扩展至这支高效、庞大的数字员工军团。
从宏观的技术演进层面看,Agent的普及,堪比智能手机对功能机的时代性替代。它将成为数字时代企业和个人的一项基础能力。刘星光做了一个贴切的类比:
十几二十年前手机只是用来拨号的,而现在全是智能手机。如果你现在说不会用智能手机、不会用上面的APP,必然会被时代淘汰。未来也是如此,如果企业不会用Agent,不会跟AI对话,那可能就会面临被时代抛弃的风险。
可以说,OpenClaw之于当下,正如移动互联网初期的iOS与安卓。当技术红利的风口已然敞开,任何追求效率的企业都难以拒绝这种指数级的飞跃。
一线踩坑实录:Agent落地的5个致命暗坑
然而,效率飞跃的另一面,往往是全新的、未知的风险。
当Agent从实验室概念走进实体企业的真实业务场景,其“自主执行”的核心特性,也带来了传统AI时代未曾遭遇的全维度安全挑战。古茗与银泰百货的一线实践,就像一份详实的“踩坑报告”,揭示了企业落地Agent必须直面的五大核心隐患。
端口暴露:一个默认配置,就能让内网全线失守
传统企业办公网依赖严格的网络边界进行管控,但Agent的本地化部署,往往在不知不觉中打破了这道防线。
古茗在部署过程中发现,OpenClaw运行服务时需要开启Gateway网关,其默认端口为18789。如果在安装时选择了“快速配置”而非“进阶配置”,该端口会被直接开启,并且访问Token会以明文形式显示在屏幕上,泄露风险极高。
刘星光在直播中还原了攻击者可能利用的路径:
假设站在红方的角度,我只需要在企业内网执行一条Nmap扫描插件的命令,扫描当前子网内有多少台机器开放了18789端口,就能迅速列出目标。随后通过漏洞定向打击,这台机器就会沦陷。更可怕的是,办公网通常是一个大的广播域,一旦单台终端中招,横向渗透的风险就会迅速扩散到整个网段。
更棘手的问题在于,这种风险极易引发连锁反应。企业办公网为了管理便利,通常是一个大的广播域,很少为每个团队划分独立的VLAN。一旦单台终端被攻破,攻击者就能以此为跳板,在整个网段内横向移动,这正是企业网络安全中最棘手的问题之一。
Skills陷阱:8%的插件带恶意
Agent的强大,很大程度上得益于其丰富的Skills(技能)生态。无论是连接数据库、调用搜索引擎还是执行特定脚本,都依赖这些第三方插件。但这里,恰恰隐藏着最大的隐患。
李亚博在调研中披露了一个值得警惕的数据:
现在行业生态里有几万个 Skills,基础调查显示至少8% 的Skills存在主观恶意。
现实情况是,绝大多数普通员工缺乏识别这些风险的能力。安装时看到推荐插件列表,为了图省事或追求功能全面而全量勾选,殊不知这种行为等同于主动为来源不明的第三方代码敞开了系统的最高权限大门。
这些隐藏在Markdown文件中的恶意URL、恶意执行逻辑、Prompt注入后门,对于非技术背景的员工而言几乎无法察觉,堪称“一键安装,即刻中招”。
阿里云安全团队将此类风险定义为Agent时代的新型软件供应链攻击。
最令人头疼的是,这些恶意代码是员工主动“邀请”进内网的,传统的边界防火墙、入侵检测系统对此类行为几乎无效,成为了企业安全防护体系中一个致命的盲区。
权限失控:给AI一把钥匙,等于埋下定时冲击波
除了端口和Skills,权限管理是另一个不容忽视的风险洼地。
为了让Agent“能干更多的活”,使用者往往会倾向于赋予它较高的系统权限。但这种缺乏“最小权限原则”约束的粗放式授权,极易引发业务事故与隐私泄露。
银泰百货遭遇的堡垒机端口被误关事故,就是一个典型的权限失控案例。为了让Agent完成全系统安全漏洞扫描,企业为其开放了端口管理的高级权限,结果Agent仅凭自身的技术判断,就关闭了堡垒机的关键业务端口,导致全公司运维人员一度无法登录系统。
古茗在实践中也发现了类似问题。刘星光提到,OpenClaw在安装运行时甚至会申请麦克风等与核心业务完全无关的系统权限。程序在后台究竟用这些权限做了什么、执行了哪些操作,用户完全不可视、不可控。更深层的隐患在于,部分员工为了操作简便,可能会赋予OpenClaw过高的系统权限,甚至将各类凭证、API密钥交由Agent管理,一旦权限失控,企业核心资产将面临直接风险。
阿里云智能集团安全产品线产品总监祝建跃点出了问题的核心:Agent的自主推理与执行特性,决定了其下一步操作充满不确定性。将系统核心凭证、API密钥等超级权限,毫无保留地交由一个存在“幻觉”可能性的AI去管理,已成为企业Agent落地中最普遍的高危操作。
成本与数据双失控:看不见的消耗,守不住的核心资产
当Agent真正接入业务流时,成本与数据安全同样构成了潜在隐患。
古茗就遭遇了真实的成本失控案例。刘星光在直播中分享,让OpenClaw执行互联网内容搜索任务时,Agent持续调用API Token,耗时二十多分钟仍未自动终止,最终只能手动停止任务:
它不可控的点在于,你不知道它要搜多少次,它可能搜1万次都说不准。不仅任务周期远超预期,还造成了严重的成本浪费,就算中途停止,之前消耗的Token也已经浪费了。
数据安全方面亦是如此。企业为了让Agent高效完成业务任务,往往需要向其开放核心经营数据、订单信息、机密文档等敏感内容,但却难以有效管控这些数据是否会被传输至外部大模型、或通过某些插件泄露至公网,数据安全处于一种“半失控”状态。
体系性风险:传统安全防护体系不好用了
上述四大风险,最终共同指向一个行业性的核心困境:面对Agent时代,企业沿用了十余年的传统安全防护体系,正面临严峻挑战,难以有效应对新型攻击模式。
祝建跃指出,企业传统的边界防护等安全体系,对于Prompt注入、AI供应链攻击、Agent自主高危操作等新型攻击模式,防御效果有限。
郑雅敏补充道,Agent的出现实质上扩大了企业的网络攻击面,对传统基于边界的防护体系带来了碘伏性挑战,企业正面临体系性防护失效的风险。
从底层原则到全场景落地的安全养虾指南
一边是不可逆转的技术趋势,另一边是步步惊心的安全风险。那么,企业究竟该如何安全、稳妥地“养龙虾”?
基于古茗、银泰百货等先锋企业的一线实践,阿里云已经形成了一套覆盖全场景、适配不同规模企业的Agent安全落地方案。其核心逻辑非常清晰:先扎紧安全的笼子,再放开效率的手脚。
第一原则:最小权限+环境隔离
阿里云提出的Agent落地首要防护原则,是“最小权限原则”与“独立环境隔离”的结合。这是所有安全防护的基石,也是经过一线验证的有效且简便的风险防控方案。
这个原则可以简单拆解为两点:
- 权限层面:仅为Agent开放完成核心任务所必需的最低权限,仅安装业务必需的Skills插件。多余的权限一律关闭,无关的插件一律不装。
- 环境层面:为Agent部署独立的沙箱运行环境。即便单个Agent节点被入侵,其活动范围也被限制在沙箱之内,无法将风险扩散至企业的核心业务系统。
目前,古茗计划采用阿里云的Landing Zone解决方案,为OpenClaw部署独立隔离的运行环境。该方案能同时实现环境隔离与权限的精细化管控。
阿里云开放平台负责人何登成介绍,经过AI场景适配的Landing Zone方案,不仅能实现创新业务与核心业务的安全隔离,还能实现创新业务的成本独立核算,兼顾了安全、效率与成本管控。
刘星光也直言,独立隔离的运行环境,是企业安全落地Agent的核心基础。即便单只“龙虾”出现安全问题,也能将影响控制在沙箱之内,避免波及全身。
企业级的解法:以Agent为中心体系化解决方案
在打好安全基础之后,针对企业规模化部署Agent后的管理与防护痛点,阿里云推出了企业级Agent安全中心,旨在构建事前、事中、事后的全闭环防护体系。
祝建跃详细介绍了该产品的四大核心能力:
- 风险全景可视:针对企业“不知道风险在哪”的痛点,提供风险大盘可视化能力。可自动盘点企业全量Agent节点,将公司所有Agent资产、风险状态统一呈现、批量巡检,解决管理盲区。
- Skills供应链防护:针对Skills风险,提供前置拦截与动态扫描能力。为恶意插件增设“防火墙”,在安装前完成静态与动态双重风险检测,从源头堵住供应链漏洞。
- 全链路行为审计:针对权限失控与操作不可视问题,提供完整的行为审计能力。记录Agent的全量操作、工具调用、地址访问行为,实现风险实时告警、事故可追溯、可定责。
- 全流程安全闭环:配套AI安全护栏、Agent身份管控与RAM权限体系,实现模型输入输出的风险拦截、员工与Agent权限的统一精细化管控。
李亚博对这套体系给出了务实的评价:
Agent安全中心从三个维度解决了企业的核心困扰。一是通过风险大盘让企业清晰掌握风险全貌,解决了“知道有风险、却不知道风险在哪”的核心痛点;二是为恶意Skills提供了前置拦截能力,筑牢了供应链安全防线;三是全链路审计能力让安全事故可追溯、可定责,完善了事后处置体系。
中小企业低成本解法:用云原生的默认安全
除了面向大型企业的体系化方案,对于中小型企业乃至个人用户的轻量化部署需求,阿里云基于其云原生能力,提供了低门槛、低成本的“默认安全”方案。
郑雅敏介绍,阿里云无影、轻量应用服务器等产品都提供了OpenClaw的一键部署镜像。这些镜像默认关闭公网端口暴露,公网映射采用随机端口,有效规避了默认端口被黑产扫描攻击的风险。同时,系统会自动进行公网暴露端口巡检,一旦检测到用户将18789等高危端口开放至公网,会第一时间发出整改提醒。
这套方案的优势在于,底层基础设施的安全已由云平台全面兜底。用户无需再为服务器、网络等底层安全问题耗费精力,可以更专注于Agent的使用行为与业务权限管控,从而大幅降低了安全部署的技术门槛与初期投入成本。
本次专场讨论形成了一个清晰的共识:未来,Agent将成为企业操作云资源的核心主体之一。阿里云的核心目标,是让OpenClaw及各类Agent在阿里云上既能高效跑通全业务流程,又能从底层基础设施层面,杜绝安全、成本、稳定性等维度的风险,让全行业都能放心落地Agent技术。
何登成表示,阿里云的核心方向是打造一朵“Agent友好”的云,让Agent在操作阿里云资源时,能够获得底层的安全性保障,从根本上解决企业落地过程中的成本、稳定性与安全顾虑。
Agent 时代,安全不只是加分项,而是入场券
回顾科技演进的历程,每一次生产力工具的飞跃,都伴随着旧有安全边界的重构与新风险的出现。
古茗、银泰百货等实体企业的OpenClaw落地实践,无疑标志着Agent技术平民化时代的全面到来。Agent已经从技术极客圈的尝鲜玩具,渗透至零售、餐饮、百货等众多实体行业;从技术团队的专用工具,转变为普通员工也能上手的提效利器,正在成为未来企业数字化的基础配置。
在这样的趋势下,Agent时代的安全,已不再是企业数字化转型的“加分项”或“可选项”,而是拥抱技术创新、实现规模化落地的“必备入场券”。企业对Agent技术的应用,绝不能陷入“重效率、轻安全”的误区。一线实践中的诸多案例已经证明,脱离安全管控的Agent应用,不仅无法实现可持续的效率提升,还可能给企业带来业务中断、数据泄露、成本失控等实质性风险。
Agent技术的浪潮势不可挡,它对企业生产经营模式、组织架构的重塑,将成为数字时代最深刻的变革之一。而这场变革的红利,永远属于那些既能敏锐拥抱创新,又能牢牢守住安全底线的企业。只有构建起全维度、全闭环的Agent安全防护体系,企业才能真正驾驭这项技术的能力,在效率革命中实现安全、稳定、可持续的增长。