近期，OpenClaw这款开源AI智能体爆火，凭借“自然语言指令就能操控电脑、无需编程就能完成自动化任务”的低门槛优势，迅速掀起“养龙虾”热潮，不少政企单位甚至在未做任何安全评估的情况下，盲目将其部署在办公系统、甚至核心业务场景中。

但老陈必须给大家敲响警钟：安全可控是信创建设的基石和底线要求，而这款看似便捷的“小龙虾”，其设计初衷与信创场景对 “技术自主、生态可控、供应链安全、合规保障” 的系统性要求存在根本矛盾。

今天我们就全面拆解OpenClaw的核心安全风险，并提供符合信创要求的理性应对策略。

---

OpenClaw四大核心风险拆解

根据国家互联网应急中心3月10日发布《关于OpenClaw安全应用的风险提示》官方风险提示，其安全风险主要集中在四大维度：

风险一：权限失控，违背“最小权限”与“访问控制”核心原则

OpenClaw的核心能力是“自主执行任务”，这需要获取极高的系统权限——包括访问本地文件系统、读取环境变量、调用外部API、安装扩展插件等，相当于让它拥有了“电脑管理员”的权限，但其默认安全配置却极其脆弱。

• • 信创安全：此风险直接违反了网络安全等级保护（等保）及信创安全的核心要求。根据《网络安全等级保护测评高风险判定实施指引》， “非授权用户可对设备软件进行配置或变更” 属于高风险项。OpenClaw缺乏严格的权限隔离、会话控制和操作审计机制，一旦被攻击者利用提示词注入等手段诱导，极易执行越权操作，最终完全接管系统。在信创环境中，这意味着对自主可控底座的直接穿透。

风险二：开源漏洞与供应链攻击

截至目前，OpenClaw已公开曝出多个高中危漏洞，如“提示词注入”和“ClawJacked远程控制漏洞”。攻击者可构造恶意指令或网页，诱导其泄露密钥、删除数据或远程控制系统。

• • 信创安全：OpenClaw作为快速迭代的开源项目，漏洞修复速度常落后于利用速度，且其代码仓库、依赖组件（第三方库、插件）构成了一条复杂且透明度不足的供应链。任何一环被“投毒”，都可能导致下游政企系统被植入后门，这与《关键信息基础设施供应链安全要求》中对外部组件安全评估的强制性规定严重冲突。

风险三：插件生态“投毒”与恶意服务，引入不可控风险因子

OpenClaw支持插件扩展（Skills），但生态缺乏统一安全审核。已有多个插件被确认恶意，可窃取密钥、部署木马。此外，市场上出现的“付费代装服务”更可能直接植入恶意程序。

• • 信创安全：这属于典型的供应链下游污染和第三方服务风险。信创建设强调对全链路供应商的管理能力。使用未经审核的插件和不可信的服务商，等同于主动引入不可控的“风险供应商”，完全违背了信创项目验收中关于 “供应链安全性和持续稳定性” 的测评要求。这使得系统从部署伊始就丧失了自主可控的意义。

风险四：数据安全与合规责任黑洞，触碰法律法规红线

OpenClaw运行时能高频抓取屏幕、调用底层接口，接触一切操作数据。一旦被攻破，涉密数据、商业机密将面临泄露风险，违反《网络安全法》《数据安全法》《个人信息保护法》。

• • 信创安全：

  1. 1. 数据安全：其行为模式可能导致重要数据明文传输或存储，这是等保测评中的高风险项。同时，其自动化处理能力若未设置“数据护栏”，极易违反《人工智能安全治理框架》中“确保输出敏感信息符合法律法规”的要求。

  2. 2. 合规与知识产权：需特别关注其开源许可证合规性。虽然其采用的MIT许可证较为宽松，但信创项目必须对所用全部开源组件进行严格的许可证扫描与兼容性分析（SCA），避免因混用GPL等具有“传染性”的许可证而导致整个项目陷入知识产权纠纷。这是《软件自主可控测评报告》关注的核心点之一。

  3. 3. 责任界定：AI智能体权责划分尚处法律模糊地带。若因其误操作导致事故，责任难以界定，给政企单位带来巨大的法律与声誉风险。

---

信创场景应对：基于风险的分级管控

结合信创领域的安全要求和基于风险的管理理念，老陈提出以下分级管控建议，核心原则是 “无评估，不部署；无管控，不上线” 。

原则上禁止部署的场景

在未实施极端强化管控措施前，以下场景应避免部署：

1. 1. 核心涉密系统：党政机关、军工单位的涉密信息系统，任何不可控的第三方工具引入都是绝对红线。

2. 2. 关键信息基础设施（CII）核心生产系统：金融、能源、交通等关基领域的实时交易、生产控制、调度指挥系统，其稳定性与安全性要求至高无上。

3. 3. 处理大量公民个人信息、重要数据且防护不足的系统：在未建立完备的数据加密、脱敏、审计和防泄露体系前，部署高风险工具等同于数据“裸奔”。

可探讨在极端受控条件下评估的场景

若因研发、测试或特定自动化需求，必须进行评估，则需满足以下所有条件，并报请最高决策层审批：

• • 环境隔离：部署于物理隔离或通过安全网关严格逻辑隔离的专用测试环境/虚拟机/容器中，与核心业务网络完全断开。

• • 权限最小化：严格遵循“最小权限原则”，使用专用低权限账户，并通过策略限制其可访问的文件路径、网络地址和系统命令。

• • 全量审计与监控：启用并集中管理所有操作日志、网络连接日志，部署实时行为监控与异常告警机制。

• • 供应链审查：对拟使用的OpenClaw特定版本及其所有插件，进行软件成分分析（SCA）、漏洞扫描和恶意代码检测。

• • 制定应急预案：包括一键断网、进程终止和数据恢复流程。

---

理性应对：拥抱创新，但须筑牢信创安全底座

OpenClaw的价值在于展示了AI自动化的潜力，但其当前形态与政企信创所需的体系化、可审计、可管控的安全要求存在鸿沟。

对于政企单位，务实的选择是：

1. 1. 强化自身安全底座：无论是否部署新型AI工具，都应首先夯实身份认证、访问控制、日志审计、漏洞管理、数据防泄露等基础安全能力，满足等保2.0和信创安全通用要求。

2. 2. 优先考察信创生态内成熟方案：在自动化办公等领域，优先调研那些经过 “安全可靠测评” 或与主流信创技术路线完成兼容性互认证的国产化工具或解决方案。但需清醒认识到，市场仍在发展，选型时应重点验证其实际安全能力和持续维护承诺，而非仅看证书。

3. 3. 建立开源软件治理体系：将OpenClaw事件作为契机，建立内部的开源软件引入评估流程，涵盖许可证合规审查（SCA）、漏洞管理、供应链追溯等，这是实现真正“自主可控”的必经之路。

---

写在最后

OpenClaw展示了AI自动化的潜力，但其当前形态不符合信创对体系化安全、可审计、可管控的刚性需求。信创是一场深刻的产业变革，安全是前提，可控是保障。切勿为追求局部便捷，而动摇全局的安全根基。面对新技术，务必在“积极拥抱”与“审慎评估”间保持战略定力。