理想汽车OpenClaw落地指南:安全与弹性的企业级实践
为Agent构建坚实的技术底座。
进入2025年,大模型应用的角色正经历一场根本性重塑。它们正从对话助手,快速演进为能够自主规划、调用工具并完成复杂工作流的“智能体”。以OpenClaw为代表的开源框架,无疑是这场变革的核心驱动力。
然而,当企业试图将这些框架引入内部生产环境时,挑战随之而来。原生OpenClaw在企业级场景中暴露出诸多适配性问题,甚至潜藏风险。
其引以为傲的灵活性,在企业IT管理者看来,可能意味着权限管控的缺失。动态生成、难以审计的代码,极易触及数据安全与合规红线。此外,面对需要长时间运行、状态保持的任务流,其稳定性与资源消耗的不可预测性,对传统IT架构构成了巨大压力。
对于汽车这类拥有直营体系、复杂研发链条和极高合规标准的行业而言,这些短板直接阻碍了Agent的规模化部署与深度应用。
转机始于一次底层架构的重构。
据了解,理想汽车选择了从基础设施层面进行破局。经过多方案综合评估,他们最终以阿里云ACS Agent Sandbox及阿里云容器服务Kubernetes版(ACK)为核心,结合AMD算力,为Agent打造了一个具备强隔离、高弹性与状态持久化能力的专属运行环境。
这一实践,为行业提供了一个关键参考:在真实、严苛的企业生产环境中,Agent应如何被可靠地部署与运行。
1. OpenClaw水土不服,车企Agent落地遇阻
理想汽车当时面临的困境,是所有采用直营模式的车企共同面对的课题。
研发效率首当其冲。2025年,理想汽车全年研发投入达113亿元,其中AI相关投入占比过半。随着整车软件复杂度指数级增长,其软件工程规模已可比肩大型互联网公司。然而,代码库、技术文档等关键资产分散于多个孤立的系统,工程师耗费大量时间在跨系统检索与信息确认上。这种数据割裂状态,严重拖慢了研发迭代的整体速度。
正是在此背景下,引入Agent作为新型生产力工具被提上日程。但挑战接踵而至。
OpenClaw等框架在设计上更侧重开发灵活性与效率。当它们被直接部署到需要对接CRM、OA、代码库等核心系统的企业环境时,其架构短板暴露无遗。任务通常在共享环境中执行,权限边界模糊,安全风险难以彻底隔离。
数据印证了这种担忧。根据国家信息安全漏洞库(CNNVD)统计,2026年1月至3月10日,短短两个多月内记录了82个与OpenClaw相关的漏洞,涉及访问控制缺陷、代码实现问题、路径遍历等多种安全风险。
同时,Agent的运行模式与传统应用有本质区别。它不再是处理单次请求的“无状态”服务,而是涉及多步骤调用与状态保持的连续任务流。这类任务执行时间长,对计算资源的占用呈现剧烈波动——高峰期需快速扩容,低谷期需及时释放,否则成本将急剧攀升。
行业的普遍观望也反映了这一点。麦肯锡2025年末报告显示,虽有62%的受访企业已开始试用Agent,但仅23%在至少一个业务职能中实现了规模化部署,且多数仍停留在局部试点阶段。
如果说研发端的痛点是效率与安全,那么门店端则承受着更直接、更即时的服务压力。
与传统经销体系不同,直营门店集销售、试驾、交付与售后沟通于一体。在节假日或新品发布期,短时间内爆发的海量咨询,要求销售顾问必须做到近乎即时的响应。任何延迟都可能导致高意向客户流失。
与此同时,门店运营成本持续攀升。核心商圈店铺租金与人力成本居高不下,有测算显示,一家核心商圈汽车门店年运营成本可能高达500万元。服务质量与成本控制之间的矛盾日益尖锐。
直营模式的普及、软件定义汽车的深入,以及用户对服务体验要求的升级,让车企在前端销售与后端研发两端同时承受着巨大的效率压力。传统依靠增员、优化流程的方式已逼近极限,企业迫切需要新一代智能工具来重构整个运营与研发体系。
当Agent从辅助“工具”演变为支撑业务的“系统”时,它需要的就不再仅仅是一段代码,而是一整套可靠、安全、可扩展的基础设施。这一点,在车企这样对稳定性、安全性和成本都极度敏感的行业中,表现得尤为突出。
对于理想汽车而言,一场从“如何使用工具”到“如何搭建基石”的深刻变革,就此展开。
2. 理想汽车破局:重构Agent底层运行逻辑
理想汽车的破局之路,并未从修改OpenClaw框架本身入手。
据了解,理想汽车于2025年6月正式启动了企业级Agent基础设施的选型工作。他们围绕直营车企对安全合规、算力弹性和规模化运维的核心要求,建立了一套多维评估体系,并对多条技术路线进行了实测对比。
早期评估的方案各有侧重。例如,基于E2B协议自建的路径,依托开源生态具备较强的定制灵活性,能与现有架构深度适配。但在规模化阶段,问题逐步显现:资源需提前规划采购,利用率随业务潮汐波动明显,长期闲置带来刚性成本。同时,集群管理、版本迭代和环境一致性维护,对内部运维团队提出了极高要求,难以支撑业务的快速扩张。
经过多轮筛选,理想汽车最终选择采用E2B协议,并依托阿里云ACS Agent Sandbox在AMD芯片上的算力优势,来构建统一的Agent执行底座。
在试点落地中,理想汽车将OpenClaw封装为面向全体员工的“数字分身”,构建了统一的企业AI助手入口。员工无论处理文档、分析代码还是查询知识,都通过此统一入口发起任务。
当所有任务汇聚到同一入口后,系统复杂性也随之浮出水面。不同任务对资源的需求千差万别,执行时长不一,对安全隔离与数据访问权限的要求也各不相同。若沿用旧有方式直接执行,系统将很快陷入失控。
于是,分层架构成为了必然选择。
这套架构的最上层,是统一的AI助手入口,负责承接所有员工请求。其下是Agent平台层,OpenClaw运行于此,承担任务规划、工具调用与流程编排的核心职能。每一个进入系统的请求,会在此被智能拆解为多个执行步骤,并判断是否需要调用底层计算资源。
再往下,是至关重要的Sandbox管理与调度层。这一层相当于整个系统的“中枢神经”。OpenClaw管控平台负责资源的申请和管控,它通过E2B协议,将任务需求转化为具体的资源调度请求。随后,由Sandbox Manager在Kubernetes集群中调度并创建对应的沙箱实例。通过Claim机制与SandboxSet的组合,系统能够在集群中快速创建出独立的运行环境,同时借助镜像缓存与预热机制大幅缩短启动时间,从而从容支撑高并发任务场景。
最底层,则是Agent Sandbox执行环境。每一个任务最终都运行在一个完全独立的Sandbox实例中。这个实例以ACS Pod的形式,存在于Serverless算力环境里,并通过精细的网络策略与存储挂载,实现了严格的访问控制与数据持久化。任务执行过程中的所有行为,都被牢牢限制在这个隔离的“沙箱”空间内。
这种分层结构带来一个根本性改变:任务不再依附于某一台特定的物理机器或某一段静态的代码,而是被拆解为可以被灵活调度、随时恢复、严密管控的运行单元。对理想汽车而言,正是这一变化,使得Agent真正具备了进入企业核心业务流程的资格。
在门店侧,最直观的变化体现在响应效率上。原本高度依赖人工的客户咨询与流程处理工作,现在可以部分交由系统自动完成。用户在任何时间发起请求,都能获得稳定、及时的回应,高峰期的服务压力得到了有效缓解。销售人员得以从重复回答标准问题中解放出来,将更多精力投入到需要情感共鸣和价值传递的高阶沟通中。
在研发侧,AI助手逐渐融入了工程师的日常工作流。通过统一入口,工程师可以快速获取技术文档、分析代码片段或处理数据,信息获取的路径被显著缩短。原本散落在多个孤岛系统中的知识,被重新组织成随时可调用的能力。随着使用频率的增加,这种点滴的效率提升逐渐累积为可观的整体效能进步。
据了解,目前已有约800名理想汽车员工在常态化使用该平台,同时还有四五千名员工正处于排队接入状态。整个应用正从局部试点,稳步迈向集团级的规模化推广。
3. 阿里云ACS:五大能力闭环,不止于安全
当这套架构稳定运行之后,它所蕴含的系统性能力开始逐步显现。
在阿里云的设计理念中,这套能力被归纳为五个相互关联的层面。它们并非彼此孤立,而是在实际运行中紧密协同,形成了一个完整的效能闭环。
安全能力,是整套体系的底层基石,也是车企最为看重的生命线。ACS Agent Sandbox采用了硬件加固的MicroVM虚拟化架构,从最底层构筑起坚固的防护边界。每个智能体任务都运行在完全独立的虚拟化环境中,实现了计算、存储、网络三个维度的彻底隔离。
在计算层面,任务之间不共享内核,极大增加了攻击者进行逃逸攻击的难度;存储层面采用独立云盘,数据链路完全隔离,实例销毁后数据被彻底擦除,不留痕迹;网络层面支持东西向与南北向流量的精细化管控,实例间默认禁止互访,有效抵御横向渗透与非法访问。这些特性,高度契合了车企对高合规性的严苛要求。
在此基础之上,平台还内置了30余类AI运行时风险检测机制,覆盖提示词注入、异常调用、越权操作等常见风险场景,再配合全链路的审计日志,形成了一套从IaaS基础设施层到应用层的纵深防御体系。这确保了Agent在执行代码或调用工具时,绝不会影响到企业的核心业务系统。
第二个关键变量是数据持久化能力。OpenClaw在执行代码分析、报告生成或多步骤数据处理等任务时,会产生大量的中间状态和临时文件。在传统的容器环境中,这些数据很容易因为实例重启或迁移而丢失。
阿里云的方案以ESSD云盘作为Sandbox的根盘,并配合NAS与OSS的动态挂载,实现了全路径的数据持久化。任何写入操作都会直接落盘,无需开发人员手动配置复杂的挂载卷,从根本上消除了数据丢失的风险。
这套存储体系具备极高的可靠性,能够实现RPO≈0(恢复点目标接近零)的数据保护能力,同时支持在线热扩容和高性能IO,足以满足大规模并发任务对稳定性的苛刻需求,让长时间运行的任务真正具备了生产级可用性。
全生命周期管理能力,使得智能体从一次性的函数调用,转变为了可管控、可恢复、可迭代的系统级能力。平台支持创建、运行、暂停、休眠、唤醒、快照、销毁这7种完整的状态流转,覆盖了任务从启动到结束的全过程。针对企业最关心的成本与效率平衡,其休眠唤醒机制尤为关键——它可以在释放CPU与内存资源的同时,完整保留任务的执行状态,再次唤醒时能在秒级内恢复运行,完美兼顾了任务连续性与资源经济性。
平台还提供了场景化模板能力,针对研发、办公、客服等不同业务场景预配置好环境与权限,新实例可以快速上线。面对企业规模化运维的挑战,系统支持滚动升级、灰度发布、蓝绿部署等4种升级策略,并在升级前自动进行快照保护状态,一旦出现问题可快速回滚,实现了业务零中断、状态零丢失的平稳迭代。
弹性与成本控制能力,直接击中了企业规模化落地Agent的核心顾虑。整套架构严格遵循按需创建、按量计费的原则,实例启动才开始计费,销毁即停止计费。企业无需提前囤积和采购大量服务器,也彻底避免了资源长期闲置带来的浪费。平台支持每分钟创建15000个沙箱实例的水平弹性扩容能力,可以轻松应对门店咨询高峰、研发集中作业等典型的潮汐式流量冲击。
在理想汽车的实际测算中,采用传统的固定资源采购模式,年度算力支出曾达到千万元级别。而在引入垂直变配与智能休眠唤醒机制后,资源利用率得到了显著提升,整体成本实现了大幅优化。
最后是开源兼容与规模化运维能力。该方案基于ACK进行统一编排,同时支持E2B标准协议接入和Kubernetes原生Claim接口,并结合基于AMD EPYC CPU架构的弹性计算实例,让企业能够实现从数百到数万个Agent实例的平滑、无感扩容。这使得理想汽车可以在不改变内部既有技术栈的前提下,快速完成平台的迁移与规模化推广,也为后续将Agent能力扩展至门店智能客服、车机云端协同等更多场景,奠定了坚实的技术基础。
从底层的安全隔离,到上层的业务赋能,这套云原生的Agent执行底座,最终让OpenClaw真正走出了实验室和Demo环境,进化成为可规模化部署、可精细化管理、可深度嵌入核心业务流程的系统性生产力。
4. 结语:重构执行逻辑,定义企业新基建
回顾过去,传统软件系统的核心是功能构建,数据在不同系统间流转,但最终的判断与执行环节始终依赖于人工。如今,Agent改写了“执行”的定义。任务不再需要绑定在固定的、僵化的流程上,而是可以被灵活地拆解、智能地调度,并在各类系统间自动推进。
但眼下,大多数企业对Agent的应用,仍然停留在局部提效的层面,难以突破系统间的壁垒。核心问题往往不在于模型本身的能力不足,而在于缺乏能够承载这种新型“执行”模式的基础设施。真实业务场景中的权限管控、数据安全、系统稳定性等硬性约束,直接决定了Agent能否长期、稳定地落地,而不是昙花一现的技术尝鲜。
在合规要求极为严苛的车企场景下,阿里云ACS Agent Sandbox搭载AMD算力,提供了稳定、安全的系统级环境,成功支撑了Agent深入业务核心流程。这一实践不仅实现了效率提升与安全合规底线的双重坚守,更沉淀出了一套相对成熟、可供参考的技术标准。
Agent的规模化落地,正在朝着车云协同的更高阶形态演进。理想汽车与阿里云正在积极探索车端与云端协同的算力组合模式,计划将Agent的部署规模从当前的级别,扩展至3万甚至数十万级别。通过持续优化端到端的任务链路,为车企Agent的规模化升级探索新的路径。
这一模式具备很高的可迁移性。金融、高端制造、政务等领域,同样面临着严格的权限管控、长周期任务流程、高并发波动和成本约束等共性挑战。已经完成标准化封装和验证的理想-阿里云方案,能够为这些场景提供直接的参考。企业不必再从零开始搭建复杂的基础设施,从而大幅降低了Agent规模化落地的整体门槛。
从长期视角看,企业之间的差距将随着Agent应用的深化而逐渐拉大。一部分企业会逐步搭建起围绕Agent的基础设施与执行体系,实现任务在企业内部的自由流转与能力复用,从而释放规模化部署AI“数字员工”的巨大潜力;而另一部分企业,可能仍将AI仅仅视为辅助性的工具。
这种差距在初期或许并不明显,但随着业务规模的扩大,二者在运营效率与成本结构上的分化会愈发突出。Gartner预测,到2026年底,将有40%的企业应用嵌入AI Agent,这一比例远高于2025年不足5%的水平。
在这一趋势下,未来企业竞争的焦点,将从单纯比拼模型能力的“军备竞赛”,转向对Agent运行环境的支撑能力。Agent基础设施(Agent Infra)将不再仅仅是提供算力和存储的资源池,而是整合了安全、弹性、状态管理与任务编排的“智能任务组织者”。
当“执行”的逻辑被重构,企业的运行方式也将随之发生根本性改变。这套围绕Agent构建的新型基础设施,正在成为下一代企业操作系统的雏形。而它的影响力,或许才刚刚开始显现。
