“想用‘小龙虾’提升效率,但因为安全能力跟不上,想用而不敢用,只能干着急。”3月16日,奇安信集团董事长齐向东在分享中提到了目前很多政企机构对OpenClawAI智能体的纠结心态。
奇安信当日发布的《OpenClaw 生态威胁分析报告》显示,“龙虾”全球部署实例已超过23万,近9%存在已知漏洞风险。报告还提到,龙虾爆火后,仿冒域名激增,已观察到超过3500个仿冒域名。
同步发布的安全使用指南建议,企业应优先采用私有化云端集中部署,避免在员工个人终端上运行核心智能体能力。
从全民“养虾”到收费卸载
超2万“龙虾”可能存在安全漏洞
近日,OpenClaw成为AI圈最火爆的话题之一,公众对“小龙虾”的态度也经历了过山车式的变化。从爆火后迅速走进企业办公、个人生活,催生“上门安装月入26万元”的养虾潮;到工信部提示安全风险后,多部门明确禁止在办公环境安装龙虾,“龙虾受害者”案例频发,又催生了上门卸载龙虾服务。
奇安信3月16日发布的《OpenClaw 生态威胁分析报告》显示,截至2026年3月13日,全球暴露在互联网的OpenClaw部署实例已超过23万,全球范围已发现20,471个OpenClaw实例可能存在安全漏洞,覆盖13,643个IP地址,接近9%暴露在互联网的OpenClaw资产存在漏洞风险。与传统网络攻击相比,针对智能体的攻击速度更快、可利用权限更高、传播更隐蔽。被操控的智能体可在数分钟内完成数据窃取、权限提升甚至业务篡改,而传统安全运营模式往往难以及时发现和响应。
▲奇安信集团董事长齐向东
齐向东在发布会致辞中表示,OpenClaw智能体正以迅猛之势重塑生产力,但随之而来的安全事故频发,如终端失控、数据泄露等,暴露出广大政企机构在拥抱AI时“想用不敢用”的普遍困境。当前传统的安全管理手段已滞后于技术发展,普遍存在“看不清、管不住、防不住漏、护不住底”四大能力缺失,构建匹配AI时代的新防护体系势在必行。齐向东在发言中一直在表达这个观点:AI的发展不能以牺牲安全为代价,但也不能因为安全风险就固步自封放弃拥抱AI。
龙虾安全指南
建议私有化部署、构建全维度动态防护
▲《奇安信政企版龙虾(OpenClaw)安全使用指南》
奇安信集团副总裁张庭解读新发布的《奇安信政企版龙虾(OpenClaw)安全使用指南》时提到,“部署模式决定安全底线”,而“私有化部署”是企业落地的最佳答案。将OpenClaw直接安装在员工PC或笔记本等个人终端上,属于极高风险的“裸奔”行为,极易引发核心数据泄露、合规违规及内网渗透等五大致命风险,在生产环境中应该被禁止,同时,公有云部署存在数据主权旁落和第三方不可控隐患。唯有通过私有化、集中化部署,才能将智能体运行在真正可控的服务器端。
奇安信人工智能公司CEO龚玉山详细谈了企业目前在部署和使用OpenClaw时普遍面临四大能力缺失:“看不清”,资产不可见,不知有多少实例在运行、装了哪些Skills;“管不住”,包括行为失控,高危操作无审批无拦截;“防不住漏”,即内容黑盒,缺乏Prompt/Response深度审计等;“护不住底”,指基础设施裸奔,缺乏针对性防护。这种状态如同“给实习生Root权限”且“快递不安检”,风险极高。
奇安信在发布会上展示其推出的“龙虾安全伴侣”,称通过“端-网-云”三层联动防护体系,通过全景可视能力、对智能体权限的精确管控、优化智能体的运行效率来实现“看得清”“管得住”“用得好”。
红星新闻记者 刘亚洲 北京报道 受访者供图
编辑 杨珒
