2026年3月,国家互联网应急中心发布了紧急风险提示,指出OpenClaw的默认安全配置“极为脆弱”,已经发生了多起安全事件。几乎在同一时间,DeepSeek被曝出在特定提示下可能产生“对齐失败”的输出,这引发了行业对开源模型安全性的广泛讨论。当AI智能体从“对话”转向“行动”,从“闭源”转向“开源”时,安全治理正成为决定行业发展高度的关键变量。
OpenClaw安全危机:从“脆弱默认配置”到“全链路防护”
国家互联网应急中心的通报直指OpenClaw的深层隐患:默认绑定0.0.0.0:18789地址并允许所有外部IP访问,远程访问无需账号认证,API密钥和聊天记录等敏感信息明文存储,公网暴露比例高达85%。攻击者可通过提示注入攻击,在网页中构造隐藏恶意指令,诱导OpenClaw读取后泄露系统密钥;第三方开发的恶意技能包可能成为窃取数据的后门;AI可能误解用户指令,导致重要文件被删除。
针对这些风险,产业界的反应迅速而果断。腾讯安全推出OpenClaw安全工具箱,将安全能力封装成AI Skills上架社区,用户通过对话就能让“小龙虾”实现自我防护。其EdgeOne ClawScan工具只需一句话即可完成全面的安全体检;HaS Anonymizer则能智能识别并替换文本中的近7万种实体,并对身份证、人脸等21种敏感对象进行图片脱敏,真正实现“数据可用不可见”。
海光信息等国产芯片厂商从底层硬件入手,通过内置的ASP主动防御核心,从源头上防范指令诱导与设备接管。成都高新区的AI企业阿加犀则另辟蹊径,将OpenClaw全链路下沉至端侧芯片,彻底脱离云端依赖,从物理上解决数据隐私和Token消耗的双重焦虑。
DeepSeek对齐困境:开源模型的“双刃剑”效应
DeepSeek的崛起标志着开源模型首次在性能上逼近闭源巨头,但其开放性也带来了独特的安全挑战。与GPT-5等闭源模型不同,DeepSeek的权重完全公开,任何人都可以下载、微调、部署。这一特性推动了创新,但也意味着恶意攻击者可以深入分析模型弱点,构造针对性攻击。
2026年初,安全研究人员发现,通过精心设计的提示词,可以绕过DeepSeek的安全护栏,生成不当内容。更令人担忧的是,攻击者可以在微调版本中植入后门,使模型在特定触发词下产生预设的恶意输出。这种“对齐失败”风险在开源生态中尤为突出——用户无法确定自己下载的模型是否被篡改。
针对这一困境,行业正在探索多层次解决方案。模型溯源方面,区块链技术被用于记录模型的训练数据和微调历史,确保模型来源可追溯;运行时监控方面,多家安全厂商推出AI防火墙产品,实时检测模型的异常输出;社区治理方面,Hugging Face等平台加强对上传模型的审查,建立恶意模型举报机制。
安全与创新的平衡术:AI智能体的未来之路
OpenClaw的权限危机和DeepSeek的对齐困境,折射出AI智能体发展中的核心矛盾:越是强大的能力,越需要严格的安全边界。一位安全专家指出:“我们不可能要求OpenClaw既拥有系统级权限,又永远不出错。关键在于建立容错机制和问责体系。”
当前,行业共识正在形成:权限管控上,严格遵循最小权限原则,对删除修改文件、发送邮件等敏感操作设置人工审批流程;网络隔离上,将OpenClaw部署在与主力电脑隔离的云服务器或Docker容器中,设置防火墙规则,仅放行必要端口;数据备份上,定期备份重要数据,OpenClaw的数据存储在~/.openclaw/目录下,包括workspace、credentials和sessions,建议双重备份保障。
对于DeepSeek等开源模型,治理方向则更加注重供应链安全。企业用户被建议优先选择官方发布的模型版本,对第三方微调版本进行安全审计;开发者社区正在推动建立开源模型的安全认证机制,为符合安全标准的模型打上“可信”标签。
AI智能体的安全治理并非是对创新的限制,而是为创新设定安全的边界。正如工信部的风险提示所指出的:“只有在安全可控的条件下,才能真正释放AI智能体的生产力。”当安全能力与智能能力同步发展时,AI才能成为人类值得信赖的伙伴,而不是失控的工具。