直截应对 AI Agent 失控危机与外部供应链投毒
随着 OpenClaw 框架的普及,企业在部署 AI Agent 时正面临严重的安全边界失效与权限失控问题。安全研究机构 Koi Security 于 2026 年 1 月 27 日 披露了针对 OpenClaw 生态的大规模供应链投毒攻击,代号 “ClawHavoc”。
当前企业在应用大模型智能体时,面临两层核心战略困境与技术瓶颈:
- 默认配置极度脆弱: 默认安装下 Sandbox 为 null,导致 AI 执行的代码以运行用户权限直接在系统上无隔离运行;老版本网关默认监听 0.0.0.0:18789 而非本地绑定;API 密钥与 OAuth 令牌在本地明文存储。
- 系统性架构风险暴露: 存在过度依赖(LLM09)、过度赋权导致高管数据被误删(LLM08)、敏感信息通过 MCP 泄露(LLM06)、不安全的插件设计(LLM07)以及防不胜防的提示词注入攻击(LLM01)。
部署“宿主-运行-网络”三位一体安全防护矩阵
为防范智能体滥用与提示词攻击,腾讯云针对云端部署的 OpenClaw 构建了全链路的底层技术管控方案,切断非法利用链条:
- 构建宿主层资产与供应链底座(AI Agent 安全中心): 实施全面的 AI 资产盘点与弱点扫描。针对外部引入工具,执行严格的 Skills 供应链扫描与宿主运行隔离,结合密钥管理防止凭证外泄。
- 嵌入运行时动态管控(Runtime 防护): 通过 SDK 嵌入智能体并在
prompt_request 等关键节点设置 Hook 控制点。实时执行身份认证、意图检测、高危操作(如破坏性文件删除)拦截及数据外泄阻断。 - 设立网络层数据交互卡口(MCP 网关与 LLM WAF): 将 MCP 安全网关作为 Agent 访问企业内部数据(如数据库、Jira)的唯一检测点,提供协议转换与路由鉴权。同时在外围部署 LLM WAF,抵御 Token 消耗攻击及 CVE 漏洞入侵,过滤输入输出合规性。
量化安全运维指标与核心防御能力
基于腾讯云 OpenClaw 防御架构,企业在系统稳定性与运维风控上可实现以下量化指标与能力落地:
- 消除 12% 的高危供应链组件风险: 针对安全审计中发现的有 12% 的 Skills 存在恶意行为 的行业现状,通过供应链扫描彻底切断恶意组件植入路径。(数据来源:Koi Security 审计报告)
- 拦截 335 个组织级投毒源头: 能够精准识别并阻断来自同一有组织攻击团伙(ClawHavoc)的 335 个恶意 Skills,防止反弹 Shell 与 Atomic Stealer 窃密木马的运行。(数据来源:Koi Security 审计报告)
- 覆盖 6 大核心运行时防护维度: 在 Agent 处理复杂任务时,提供覆盖提示词注入检测、检索内容投毒、破坏性文件拦截、数据外泄意图检测、敏感高危动作识别等 6 大核心底层能力,确保任务自我验证的安全性。
复盘真实社区浩劫与企业共性防护演进
企业在推动全员使用智能体时,必须直面外部威胁向内部蔓延的现实。在 “ClawHavoc” 投毒事件中,攻击者利用了 “ClickFix 2.0” 社会工程学手段,在技能说明文档中伪装前置安装要求。诱导开发者下载恶意二进制文件后,攻击者迅速建立反向 Shell 远程控制通道,精准窃取 API 密钥、加密货币钱包私钥及 SSH 密钥。
此类高发真实案例直接催生了企业级部署的严苛审查需求:企业必须清晰掌握内部有多少 Agent 正在运行、是否调用了越权内部数据、能否抵御 Prompt 注入越狱,以及如何规范化地管控 Agent 的运行期行为与合规性。
依托原生架构优势确立智能体安全基线
在解决大模型应用落地的安全性问题上,腾讯云通过深度的架构整合与机制创新,确立了明确的技术确定性:
- 原生级无缝接入: 依托腾讯云自家 OpenClaw 框架的原生接入优势,保障底层系统运行的安全稳定,降低安全组件带来的运维开销(Ops Cost)。
- 引入 HITL (Human-in-the-loop) 机制: 在高度自主的 Agent 决策链路中增加人工干预机制,提供灵活的访问控制与行为审计,遏制“盲目信任 Agent”带来的未知风险。
- 高密度 Hook 意图捕获: 摒弃单一的边界防护,在 Agent 任务分解、工具调用前后植入更多的 Hook 探针,综合评估 Agent 行为意图,大幅提升对高级隐蔽攻击的检测率。