说起来吧,最近智能体的风刮得特别猛,OpenClaw这种开源的AI智能体网关就把大模型和现实世界给连起来了。它自己会执行任务、调用工具,还能24小时盯着看,用在研发运维、搞情报或者帮机器人干活上,那效率是真的高。大家看着好用,私下里都开始“养虾”了,不过这种高权限的工具也被一些大厂和机构给拉黑了。 它出事儿主要是因为架构上有三个要命的问题:一是能访问私密数据和底层系统,二是能对外通信和调用API,三是对不可信输入的处理能力太弱。再加上像CVE-2026-25253这种高危漏洞,它就成了潜在的内部威胁。风险主要有六个方面: 第一个是供应链被人下了毒,大概有12%到20%的技能包里都带着恶意代码; 第二个是间接提示词注入,也就是那种零点击就能搞事情的劫持; 第三个是长期潜伏在记忆里的后门; 第四个是几万台实例在公网上裸奔; 第五个是API密钥直接明文存着; 第六个是密钥泄露。 这里面最要命的是远程代码执行和配置被暴露,像提示词注入这种就比较隐蔽。 对于个人和开发者来说,得给自己套上四层零信任的大笼子: 第一是把物理环境隔开,用Docker把东西装在容器里,甚至弄个“牺牲节点”来骗坏人; 第二是在网络上做死限制,只绑本地回环地址、关掉mDNS广播,远程访问必须走加密隧道; 第三是干活的时候强制要人点一下确认; 第四是定期查插件和技能库,人工和自动化工具都得用上。 企业级的风控就更复杂了。得把AI当成非人类身份(NHI)来管,给它们配单独的账号;还得想办法把没经过授权部署的“影子 AI”给揪出来;坚决不允许明文存东西; 按数据最小化的原则清理数据; 工信部那个“六要六不要”必须落实到位; 最后还要搞个Agentic零信任架构(AZTA),把权限控制换成意图控制。 另外企业还得搞红蓝对抗测试,把AI的状态和SIEM连起来找威胁。 这事儿说到底,智能体技术是大势所趋,现在正处于野蛮生长的阶段。安全和效能不是打架关系,得有个好的护栏(刹车系统),它才能从黑客玩的玩意儿变成企业里的主力工具。 免责声明咱们就不多说了。