開源AI智能體OpenClaw近日迅速走紅，亦帶來了新的安全挑戰。360集團(滬:601360)發布內地首份《OpenClaw安全部署與實踐指南》（下稱「指南」），為政企機構和個人開發者提供系統化的安全參考。360指出，AI智能體越接近「數字分身」，一旦被攻擊者控制，其潛在破壞力也越大，因此在部署初期建立安全機制尤為關鍵。



在《指南》中，360總結了當前AI智能體部署面臨的多類典型風險，包括公網管理接口暴露、API Key等身份憑證洩露、底層Shell工具調用越權、提示詞注入攻擊、記憶模塊被惡意投毒、第三方技能插件供應鏈風險以及多智能體協同失控等問題。



為了幫助企業團隊和OPC（一人公司）創業者在保障安全的前提下使用AI智能體，360在《指南》提出「先可控、再提效」的原則。針對個人開發者和小型團隊，指南建議避免直接在本機高權限運行智能體，而是通過容器化技術構建隔離環境，並結合最小權限策略、密鑰加密注入和關鍵配置文件防篡改等措施，為OpenClaw搭建安全運行基礎，從而在不增加複雜度的情況下有效降低風險。



對於政企級多智能體協同應用場景，360則提出基於零信任理念的整體安全架構：在系統邊界部署安全網關，對智能體所有出入流量進行統一控制並實施數據防洩漏檢測；在平台內部建立多租戶與RBAC細粒度權限管理機制，實現管理員、安全審計員、工具開發者和業務操作人員之間的權限分離；同時將智能體關鍵操作日誌接入企業安全運營平台，通過行為基線分析及時識別異常操作，實現對高風險行為的實時預警與攔截。

《經濟通通訊社11日專訊》