财联社3月11日讯（记者 付静）OpenClaw安全风险持续受到各方关注。11日晚间，工业和信息化部网络安全威胁和漏洞信息共享平台（以下简称“平台”）发布关于防范OpenClaw开源智能体安全风险的“六要六不要”建议，由平台组织智能体提供商、漏洞收集平台运营单位、网络安全企业等研究提出。

此前平台就曾发文称，监测发现OpenClaw部分实例在默认或不当配置情况下存在较高安全风险，极易引发网络攻击、信息泄露等安全问题。3月8日，“工信部已发布高危风险预警”话题还曾登上热搜。10日，国家互联网应急中心亦发布关于OpenClaw安全应用的风险提示。

奇安信-U（688561.SH）安全专家汪列军告诉财联社记者，相关安全事件的出现主要归因于OpenClaw极大加速了AI向“超人化”演进的脚步，具体风险集中在权限失控与“越狱”、Skill供应链、公网暴露与远程入侵、数据隐私泄露四方面。

有从业者告诉财联社记者，OpenClaw作为开源AI智能体，其原生形态暴露了系统级权限滥用、供应链攻击、商业模式冲突等高风险。

针对普通用户，汪列军建议，为降低安全风险，应遵循“物理隔离”和“最小权限”原则。

其一，要坚守“安全红线”，谨慎在日常办公电脑、存有重要个人资料（照片、文档、账号密码）的个人电脑上直接安装OpenClaw。其二，使用虚拟机或闲置电脑部署，避免数据隐患。其三，选择安全可信的Skills来源下载，同时在本地电脑上增强权限控制，严格限制AI只能访问特定的非敏感文件夹。

同时，前述从业者进一步分析，相比存在安全风险的原生OpenClaw，当前国内科技厂商的类OpenClaw产品如果进行云化部署、沙箱隔离、权限管控、协议化接口、skills安全升级等措施，将从“危险工具”变成“可靠工具”。“本质上是要将前沿但危险的‘原型技术’，通过工程化、合规化和生态化，转化为安全、可控、可持续的商业服务。”

财联社记者注意到，当前越来越多国产“龙虾”涌现，包括腾讯、华为、阿里巴巴、字节跳动、百度、小米、猎豹移动等互联网企业及智谱、Kimi、MiniMax等模型厂商均已推出各自的类OpenClaw工具。

目前，多家厂商着重强调确保Agent产品的安全能力，目的是把高风险的海外龙虾装进安全框架，在国产化过程中大幅提升其安全性。

例如：“鸿蒙版龙虾”小艺Claw推出，华为希望把Agent竞争带回系统与安全；优刻得发布面向投研机构的OpenClaw安全解决方案。

另外，财联社记者从腾讯方面获悉，其提供了一整套安全产品矩阵，并将安全能力封装成可调用的Skills。

产品方面，面对云上开发者/企业，针对公网暴露和容易被入侵的痛点，腾讯云Lighthouse（轻量应用服务器）推出了“OpenClaw安全专属部署架构”；针对本地化企业用户，特别是金融、医疗等对部署安全有严苛要求的行业，腾讯iOA发布“龙虾办公网防护方案”；针对个人用户，推出安全沙箱，可以防篡改系统、防插件投毒、防钱包被盗、防隐私泄露。

Skills方面，腾讯云边缘安全加速平台（Tencent Cloud EdgeOne）为OpenClaw开发了安全体检工具；同时，在社区上架了HaS Anonymizer这一端侧隐私保护Skill，能识别并替换近70000种文本实体类型，也具备图片脱敏引擎。

技术狂欢背后安全问题不容忽视，这也推动了11日A股网络安全概念继续活跃。

事实上，智能体如何保障用户个人隐私安全，已不是新话题。

此前财联社曾报道，有部分AI Agent通过使用手机的系统级权限等技术手段跨越应用边界，不乏有大规模数据采集等行为，还导致用户隐私“裸奔”。这种被称作是“侵入式AI”的现象甚至曾遭黑灰产利用。智能体要进行相关操作时，经“用户同意”、“平台许可”双重授权应是底线。

值得关注的是，近期海外也对类似行为做出法律层面的约束。当地时间3月9日美国加州联邦法院作出裁定，初创公司Perplexity AI旗下智能体产品须停止访问亚马逊网站，禁止创建或接管任何亚马逊账户，销毁所有已获取的数据。

据悉，Perplexity旗下智能体Comet伪装成Google Chrome浏览器，绕过亚马逊对自动化工具的检测，且在用户不知情的情况下将其购物数据传回Perplexity的服务器。去年11月，亚马逊将Perplexity告上法庭，指控Comet代表消费者在亚马逊购物的行为构成计算机欺诈。