
本白皮书聚焦开源 AI 智能体 OpenClaw(龙虾)的安全风险,结合其产品架构、三类部署模式隐患,梳理行业安全规范,推出网络 + Agent + 主机三层围栏 + 安全运营一体化防护方案,落地攻防验证与部署落地规范,用于解决 AI 自主智能体新型安全威胁。
一、OpenClaw 基础概况与核心安全隐患
产品属性:OpenClaw 是可自主执行任务的开源 AI Agent,可部署在终端 / 公有云 / 企业内网,依托即时通讯接收指令、本地持久化记忆、从社区 ClawHub 下载技能,可调用各类大模型、本地文件与系统指令,已出现大量公网暴露实例。
五大高危风险
公网大面积暴露:全球超 27 万实例公网上线,大量关联 APT 攻击,易被黑客利用漏洞横向渗透内网、窃取政企数据;
供应链投毒:ClawHub 技能缺少审核,大量恶意插件伪装成常用工具,安装后窃取本地隐私、业务文件;
多类型提示词注入:直接 / 间接恶意提示绕过安全规则,诱导 Agent 泄露笔记、账单、密钥等敏感信息;
系统权限失控:默认高权限运行,易被诱导执行删库、读取系统密码等高危命令;
明文缓存引发数据泄露:本地无加密留存财务、客户、涉密文档,传输缺脱敏与加密,极易被窃。
二、三种部署模式风险对比及部署建议
OpenClaw 分为办公终端分散部署、公有云部署、企业内网集中部署三类落地形态:
PC 终端部署:部署成本低,但管控分散、数据散落全终端,风险等级高,仅适合低敏业务小范围试点,禁止规模化生产使用;
公有云部署:上线快捷,但安全边界模糊、数据脱离企业管控、权责划分复杂,中高风险,仅限创新业务快速验证,上线前需完成合规评审;
企业内部集中部署:数据留在内网、管控集中、适配等保与数据法规,风险中等,官方推荐作为生产环境首选方案,建议容器化、私有技能仓库管控、最小权限运行。
三、业界 AI Agent 安全规范与设计原则
五大安全设计准则:最小权限、人类可控可追溯、透明知情同意、纵深隔离防御、安全默认拒绝;
国内外标准:国际包含 NIST、OWASP AI Agent Top10、EU AI Act 等规范;国内落地智能体任务安全、身份访问控制相关团体标准,为方案设计提供合规依据。
四、华为三层围栏 + 安全运营整体防护方案
方案以全面可视、全程可控、全链可管为目标,搭建三层围栏架构,搭配安全运营平台实现闭环治理:
1. 网络围栏(边界防护)
依托 AI 防火墙,区分违规私自部署、合规集中部署两类场景:网络层识别拦截 OpenClaw 非法外联流量、配置外网访问白名单、阻断恶意端口与 C2 通信、对外发敏感数据过滤拦截,从边界切断数据外泄与外网入侵通道。
2. Agent 围栏(应用与模型防护)
搭建六层漏斗式模型围栏,全链路防护提示词注入、内容违规、数据泄密:输入多层语义 + 规则检测拦截恶意提示,输出侧敏感信息脱敏、违规内容拦截;同时管控技能安装审批、高危操作二次校验,实现 AI 调用统一认证、权限管控与全量审计。
3. 主机围栏(终端 / 服务器底层,依托 AIDR 技术)
基于 Linux eBPF、Windows 内核驱动实现底层管控:①全域自动发现 OpenClaw 资产、漏洞可视化;②进程级零信任细粒度权限管控,限制文件读写、系统调用、内网横向访问;③关键系统 / 业务文件白名单保护,防篡改删除;④实时检测阻断恶意 Skill、窃密远控、勒索加密行为;⑤全链路日志采集,会话、操作可溯源取证。
4. AI 安全运营体系
汇聚 AIDR、AI 安全网关、防火墙多源日志,实现资产 / 漏洞 / 访问链路可视化;依托关联分析、图数据库溯源威胁,联动 SOAR 自动化处置告警,形成发现 - 分析 - 处置 - 复盘安全闭环。
五、攻防落地实践与项目部署清单
实战验证:AIDR 经实测可有效拦截三类典型攻击:恶意 Skill 窃取密码与远控、诱导删除敏感文件、非法拷贝 SSH 私钥;
两类落地部署:分为数据中心集中部署、PC 分散部署,统一配置 AI 防火墙、模型围栏一体机、终端 AIDR、安全运营平台、安全大模型等软硬件产品,形成标准化部署清单。
六、整体价值
方案针对性解决 AI Agent 从模型输入、技能调用、系统执行到数据外发的全链路新型安全漏洞,适配《数据安全法》《等保 2.0》等国内监管要求,填补传统安全产品无法管控自主智能体的防护空白。


































