这是360集团针对AI智能体安全给出的一份重磅指南。3月11日那天,澎湃新闻的记者范佳来告诉大家,360把《OpenClaw安全部署与实践指南》给推出来了。这份资料不光是给大的机构看,也提供给个人开发者做参考。360认为,既然现在的AI智能体已经很像咱们的数字分身了,那一旦被坏人控制了,带来的危害肯定会很大。所以得在刚部署的时候就把安全机制给立起来。在这份指南里,360把大伙儿平时在部署过程中容易碰到的那些风险都总结出来了。比如公开的管理接口露了馅儿、API Key这样的凭证被人偷了、底层的Shell工具调用权限乱了套、提示词被恶意注入了、记忆模块被别人投毒了、第三方插件那边出了供应链的问题,还有多个智能体一起工作时失控的情况。在这些问题里头,提示词注入和插件供应链攻击算是最容易被大家忽视的两个难点。要是被人钻了空子,攻击者可能会把智能体给骗了去执行不该干的事儿,甚至能长期控制它的行为。