释放双眼,带上耳机,听听看~!
360发布国内首份《OpenClaw安全部署与实践指南》,针对开源AI智能体OpenClaw带来的安全挑战。指南指出AI智能体风险,包括公网接口暴露、凭证泄露、越权调用、提示词注入、插件供应链风险等,其中提示词注入和插件供应链攻击危害较大。为保障安全,指南提出“先可控、再提效”原则,建议个人开发者通过容器化技术构建隔离环境运行智能体。此举旨在为
360推出全网首份安全部署指南
近日,开源AI智能体迅速走红网络,不过也带来了新的安全挑战。针对这一新型安全挑战,360集团率先发布国内首份《安全部署与实践指南》(以下简称“指南”),为政企机构和个人开发者提供系统化的安全参考。360指出,AI智能体越接近“数字分身”,一旦被攻击者控制,其潜在破坏力也越大,因此在部署初期建立安全机制尤为关键。 在《指南》中,360总结了当前AI智能体部署面临的多类典型风险,包括公网管理接口暴露、API Key等身份凭证泄露、底层Shell工具调用越权、提示词注入攻击、记忆模块被恶意投毒、第三方技能插件供应链风险以及多智能体协同失控等问题。其中,提示词注入和插件供应链攻击被认为是当前最容易被忽视、却危害较大的新型攻击方式。一旦被利用,攻击者可能诱导智能体执行非预期指令,甚至长期操控其行为。 为了帮助企业团队和OPC(一人公司)创业者在保障安全的前提下使用AI智能体,360在《指南》中提出“先可控、再提效”的原则。针对个人开发者和小型团队,指南建议避免直接在本机高权限运行智能体,而是通过容器化技术构建隔离环境,并结合最小权限策略、密钥加密注入和关键配置文件防篡改等措施,为搭建安全运行基础,从而在不增加复杂度的情况下有效降低风险。
