2026年3月,AI圈最火的话题不是某个大模型的版本更新,而是一只“龙虾”——OpenClaw。
这个开源AI Agent框架发布仅四个多月,便创造了GitHub历史上的增长奇迹。国内的热度更加强烈:“养龙虾”的热潮早已刮出程序员圈,不少企业老板下达“强制令”要求员工全员安装,影视传媒、金融行业的人甚至花钱请人上门安装……
然而,马斯克的一句话给这场狂欢泼了一盆冷水:“你养的龙虾,就等于在给猴子递枪”。
当AI学会“动手”,自主执行任务、调用工具、操作系统,我们该如何在拥抱创新的同时,守住安全底线?
近期,阿里云【有“模”有样-AI场景实践说】栏目特邀银泰商业集团安全负责人李亚博、古茗科技集团网络安全总监刘星光,与阿里云开放平台负责人何登成、阿里云云安全产品线产品总监祝建跃、阿里云业务安全负责人郑雅敏围绕“安全养虾!从OpenClaw看云上AI安全落地路径”主题展开深度对话,从Agent带来的效率革命,到权限边界模糊、Skill供应链投毒、基础安全失守等多重风险,系统性拆解AI Agent落地过程中的安全挑战,探寻云上安全防护的有效路径。
为什么“龙虾”让人无法抗拒:Agent带来的效率革命
与传统大模型不同,AI Agent的核心能力在于“自动化执行”,它不再满足于生成文本或图片,而是能够根据目标自动拆解步骤、调用工具、完成闭环操作。这让它成为真正意义上解放双手的生产力工具:只要给出一个目标,它就能自主执行原本需要人工一步步点击才能完成的任务。
这种能力在实际应用中表现为“技能”(Skill)的动态扩展。基于企业自身的数据沉淀和标准化作业流程,Agent可以被赋予专属技能,例如员工请假时,它直接提交系统;需要查看监控告警时,它自动汇总分析;要什么数据,直接说出需求即可。这让普通员工上手极快,也大大降低了跨系统操作的复杂度。据李亚博介绍,这也是银泰商业集团在内部探索的主要应用场景。从更深的层面看,AI Agent正在重塑人机交互的范式。过去:人与计算机的交互主要依赖界面和窗口,需要人工逐个点击、输入、切换系统;现在:人只需表达意图,Agent便能一次性完成跨系统调用。
这种从“操作界面”到“意图表达”的转变,让Agent成为连接人与数字世界的贴身助理,它能学习用户习惯,逐渐变得更加贴身、更好用。
工作流也因此被重新定义。以往需要人工在多个系统间串联的串行流程,如今演变为“一句话触发、Agent自动编排”的并行协同模式。控制权从“人操作”转变为“人监督”,审批节点从全链路人工变成关键节点人工确认。可以预见,Agent未来将不仅仅是效率工具,更可能成为“数字员工”,与人类协同完成复杂任务。这种变化本质上是生产关系的重构:过去是让人去适应系统,未来是系统来适应人。刘星光在节目中表示,就像智能手机的普及一样,不会使用Agent的员工,很可能被时代慢慢抛下。
狂欢下的阴影:“养虾”面临的多重安全挑战
效率的飞跃伴随着风险的指数级放大。AI Agent时代的安全边界,正在被重新定义。
攻击面扩大与权限“超级化”
作为阿里云业务安全负责人郑雅敏几乎每天都会关注云上Agent的变化。据他介绍,Agent的部署形态多样,从IaaS+开源镜像到PaaS/SaaS封装产品,再到本地部署,每种形态下用户需要承担的安全责任边界也不相同。但无论哪种形态,Agent为完成任务往往需要被授予极高权限,包括访问文件、调用API、执行系统命令等。一旦逻辑错误或被恶意利用,后果可能远超预期。银泰曾尝试让Agent自动扫描安全漏洞,结果它判断某台堡垒机的端口存在风险并直接将其关闭,导致全员运维连接中断。银泰商业集团安全负责人李亚博表示,“有时候Agent从纯技术角度判断做出的决策没有问题,但一旦结合业务场景就出现问题了”。这一事件揭示了Agent“纯技术判断”与业务上下文脱节的风险。
此外,Agent长期持有各类API Key、Token等凭证,若管理不当,泄露后极易被攻击者利用,且目前Agent执行任务所消耗的模型Token数量难以预估。古茗科技集团网络安全总监刘星光在测试中发现,一个简单的搜索任务竟触发了上百次API调用,费用与风险双双失控,“你根本不知道它什么时候会停”。
全新的攻击路径:从“人”到“AI”的投毒
第三方技能市场已成为新型攻击入口。大量Skill存在主观恶意或自身漏洞,攻击者通过在SKILL.md中伪装“前置依赖安装步骤”,诱导Agent下载恶意二进制文件;或以看似正常的服务为名,要求用户将敏感信息通过URL参数传递,从而实现窃取。这类攻击完全绕过了基于代码特征的传统检测。
更深层的风险在于,自然语言已成为新的“编程入口”。阿里云云安全产品线产品总监祝建跃指出,攻击者可以通过精心构造的提示词诱导模型执行非预期操作,或通过污染检索增强生成(RAG)数据源,让Agent“记住”并执行恶意指令,这种攻击完全在语义层面完成,传统安全工具难以防御。
“老问题”的“新放大”:基础安全失守的连锁反应
在手动操作时代,开放一个22端口或许只是配置疏漏,但当Agent拥有自动化执行能力后,这些短板可能成为攻击者快速横向移动的跳板。阿里云业务安全负责人郑雅敏分享了阿里云2026年云上安全体检的洞察:“主账号未开启MFA”“安全组公网开放高危端口22/3389”“主账号AccessKey长期启用或闲置”位列高频风险前三。这些“老生常谈”的基础安全问题,在Agent时代被赋予了新的威胁等级,一旦被攻击者利用,Agent的“超级权限”将成为摧毁整个系统的“特洛伊木马”。
如何“安全养虾”?从企业实践到阿里云的体系化防护
应对AI Agent风险,需要企业治理与云平台防护双管齐下。阿里云正通过产品矩阵与服务生态,构建覆盖AI Agent全生命周期的安全新范式。
企业实践:在探索中积累经验
银泰的“熔断机制”:银泰商业集团安全负责人李亚博分享其做法,所有Agent变更必须经过资源编排预览,并由人工确认后生效。“AI可以跑得快,但刹车必须在人手里”。
古茗的“安全先行”策略:古茗科技集团网络安全总监刘星光介绍其务实态度:“先加固云上基础安全底座,再选择低风险场景试点。我们的核心诉求是‘环境归云管,行为归Agent管’。”他希望通过与阿里云合作,采用AI Landing Zone的方式,在起步阶段就规划好安全、合规与成本。
阿里云的破局之道:构建AI Agent全栈安全能力
基础安全体检,筑牢云上地基:阿里云业务安全负责人郑雅敏介绍了阿里云推出的“安全体检”服务。这并非一个只针对Agent的工具,而是一个覆盖云上资产的“健康扫描仪”。既能扫描传统云上配置问题,也能检测AI特有的风险,帮助用户在拥抱AI之前,先把”地基”打牢。
默认安全,筑牢第一道防线:阿里云业务安全负责人郑雅敏介绍其平台级的默认安全能力。例如,通过“一键关闭公网访问”、随机端口映射来减少主机暴露面;对内置Skill进行安全评审;通过沙箱隔离技术,将风险锁定在特定环境中。这直接回应了古茗科技集团网络安全总监刘星光对“独立环境”的期待。
Skill供应链安全,从源头阻断投毒:近期,阿里云还推出面向AI Agent的官方Skills门户,由平台严选高质、安全、合规的Skill,企业可直接获取开箱即用的安全Skill,并享受持续的风险监测与更新服务。同时,针对AI Agent生态的“软件包”风险,阿里云云安全中心上线了AI Agent Skill安全检测能力。对3万多个Skill的扫描发现,传统安全引擎与AI语义检测的检出交集仅3.4%,两类能力高度互补。阿里云采用多层检测引擎,精准识别伪装成“前置依赖”的投递器、私钥窃取通道等新型供应链攻击。
- Agent运行时防护,AI安全护栏2.0:针对Agent“自主执行任务”时的失控风险,阿里云AI安全护栏2.0升级至Agent运行时全链路智能防护。它提供提示词攻击防护、输入输出双向检测、高危操作拦截、敏感数据外泄防护等能力。当Agent被诱导执行“DROP TABLE”、“rm -rf”等破坏性操作时,系统实时熔断并告警;当检测到私钥、API Key等敏感信息即将外发时,自动拦截。该产品支持作为OpenClaw原生插件一键安装。
- Agent身份与权限管控,Agent ID Guard:针对“多个Agent共享凭据、出了问题无法追溯”的身份治理难题,阿里云应用身份服务推出Agent ID Guard,为每个Agent发放唯一的“数字工牌”。其核心能力包括统一身份管理、身份透传体系、动态凭据管理、全链路监控审计,确保企业能清晰追溯“哪只虾、为谁、做了什么”。
- Agent调用数据安全,Agentic API安全:当Agent通过API调用数据时,API成为数据流转的“咽喉要道”。阿里云Web应用防火墙推出Agentic API安全,集成千问大模型实现智能API画像、敏感数据语义识别与自适应实时脱敏。该产品可零配置启动,自动跟随API结构变更,并与Agent ID Guard深度协同,将Agent身份透传至API调用链路,形成“身份可信+数据可控”的完整闭环。
- 一体化治理,Agent安全中心:面向企业级客户,阿里云云安全产品线产品总监祝建跃介绍了Agent安全中心,一个统一视角的Agent安全平台,它帮助客户实现从AI资产盘点、安全配置巡检、AI Red Teaming、联合身份和护栏运行时统一威胁检测、事件调查分析和审计的一站式安全治理。
- 企业级安全运营,Agentic SOC:面向已规模化部署Agent的企业,如何能融入到原有安全运营体系中来提升运营效率,阿里云发布Agentic SOC,即AI Agent驱动的自主安全运营平台,实现从AI Infra到AI Agent的统一安全运营。这款产品的愿景是构建AI时代的安全运营中心,让企业能够从容应对AI时代的运营挑战。
未来展望:从“给猴子递枪”到“为特战队员”配枪
在这场关于AI Agent未来的探讨中,五位嘉宾勾勒出从工具到伙伴的演进图景。
银泰商业集团安全负责人李亚博用一个生动的比喻勾勒了Agent的进化路径:“现在我们是给猴子递枪,未来我们可以自己从猴子进化成特战队员。每个人都能非常熟练地应用各种Agent,它们会从工具变成我们的同事。一个人可能带着十个‘数字员工’一起干活”。从“给猴子递枪”到“为特战队员配枪”,这不仅是能力的升级,更是人机协作关系的根本转变。
古茗科技集团网络安全总监刘星光则从时代变迁的角度看待这场变革:“过去的数字化,是让人去适应系统;Agent时代,是系统来适应人。员工只需要表达意图,剩下的交给AI。这不只是效率的提升,更是一场生产关系的重构”。那些无法驾驭新工具的人,终将被技术演进的车轮甩在身后。
阿里云云安全产品线产品总监祝建跃从产品开发的视角分享了他的观察:“Agent对于我们整个产品的开发范式会发生彻底的改变。以前我要和客户聊需求、画原型图、评审、开发;现在产品经理可以直接上手把原型画了,和客户确认之后再进入开发。AI这个时代,Agent对于我们方方面面都会有非常大的改变”。在他看来,Agent对于产品开发乃至整个技术行业,都将带来深刻的改变。
阿里云业务安全负责人郑雅敏则展望了安全领域的未来:“当Agent Native的时代来临,也许今天之前人类认为很复杂、很繁琐、不愿意去做的事情,AI是很容易去解决的。也许未来Agent创造的云上应用和服务,默认的安全水位就比人类创造的要高一大截”。这意味着,AI不仅带来新的风险,也可能成为解决安全难题的钥匙。
阿里云开放平台负责人何登成为这场对话画上了句点,也点明了阿里云的战略方向:“未来Agent是我们操作云的主力。阿里云的目标是成为‘Agent友好的一朵云’,要让Agent在阿里云上操作的时候,我们能够去保证它的安全性,杜绝成本、稳定性和安全的风险”。这意味着云平台不仅要保障自身安全,更要为AI应用提供安全、可控、可观测的运行环境,让每一只“龙虾”在安全的轨道上高效奔跑。
结语:让AI创新安全地奔跑在云上
从OpenClaw的狂热到安全风险的隐忧,我们看到了AI Agent时代机遇与挑战的并存。这场由“龙虾”点燃的AI自动化浪潮,正在深刻重塑企业的工作方式与安全边界。安全不是创新的阻碍,而是创新的前提。无论是银泰的“熔断机制”、古茗的“安全先行”,还是阿里云构建的全栈AI Agent安全能力,都在探索同一条路:如何让AI创新安全地奔跑在云上。当“一人公司”、“数字员工”从概念走向现实,我们每个人都将拥有驾驭AI的能力。而如何确保这些AI“特战队员”行为安全、可控、可审计,将是我们共同面对的课题。在这场探索中,阿里云正以云原生之力,为每一只“龙虾”划定安全边界,为千行百业筑牢信任基石,让AI创新在安全的轨道上加速奔跑。
