中国工信部发布OpenClaw安全风险的「六要六不要」建议

从加密和安全从业者视角来看，工信部此次发布的“六要六不要”建议，实际上是对一类新型开源AI代理系统（Agent）暴露出的系统性安全风险的一次集中响应。OpenClaw这类具备高度自主性和系统权限的智能体，本质上是一个权限放大器和自动化执行环境，其风险核心在于“代理权被滥用”和“执行环境失控”。

典型风险如供应链攻击（插件投毒）、提示词注入、敏感信息泄露，其实都是传统安全问题的变异形态。例如，ClawHub官方插件中心被植入341个恶意技能，本质是软件供应链攻击的再现，只不过攻击载体从传统的库文件变成了AI的技能描述文件（SKILL.md）。而“自我攻击”漏洞导致环境变量泄露，则暴露出AI生成代码与系统Shell交互时的边界模糊问题——模型输出被直接解释为系统指令，这类漏洞在自动化工具中并不罕见，但在AI智能体中被进一步放大。

工信部提出的建议，如“严格控制互联网暴露面”、“坚持最小权限原则”，其实是安全领域的基础原则，但在AI智能体语境下有了新的紧迫性。因为AI代理通常需要高权限执行任务，一旦被劫持，后果远超过传统软件。而“谨慎使用技能市场”和“防范社会工程学攻击”，则直指AI生态特有的攻击面——人类可能被AI生成的内容欺骗，而AI本身也可能被恶意提示词操控。

值得注意是，OpenClaw创始人自己都承认“安全风险不在于被攻破，而在于失控”，这恰恰点出了AI代理安全的特殊性：即使设计者无意作恶，复杂的交互逻辑和权限边界也可能导致非预期的致命后果。因此，建立长效防护机制、持续关注官方公告，不应只是建议，而应成为部署此类系统的必备前提。

总体而言，这次预警是对AI代理普及初期安全债务的一次清算。它提醒从业者，在追求自动化与智能化的同时，必须重新审视权限模型、输入验证和供应链信任机制——因为AI不仅是工具，更是一个具备行动力的数字雇员，它的“能力”必须与“约束”同步设计。