当前,人工智能技术正从单纯的对话交互向自主执行演进,Agent(智能体)已成为企业数字化转型的新焦点。然而,随着技术深入业务核心,安全风险也随之呈指数级上升。如何在释放生产力的同时构建可靠的安全防线,是行业共同面临的课题。
企业如何安全落地智能化代理?
养龙虾(OpenClaw)的风,终究还是吹进了实体商业圈。
在新茶饮行业的数字化进程中,高峰期的订单峰值监控、多区域门店的运营数据汇总、跨系统的业务异常排查,一直是技术团队日常高频且繁琐的工作。
古茗在测试使用 OpenClaw 的过程中发现,技术团队只需向智能体提问“当前的 QPS 是多少”、“订单状态是多少”等问题,它就能串联整个流程并输出结果。员工不再需要登录多个平台查看,显著提升了人效。
不止是新茶饮赛道,这股 Agent 落地的浪潮,也已经渗透进了百货零售行业。
作为国内头部百货企业,银泰百货的日常运营痛点,既需要面对线下数十家门店的销售数据复盘、营销活动效果分析,也需要保障全国门店信息系统的安全稳定运行。
而 OpenClaw 的到来,对于银泰百货来说,相当于在其原有系统基础上新增了智能载体,让员工使用起来更便捷、触达效率更高。比如对接内部自研的应用监控系统,以往监控粒度较细,现在它可以自动汇总当天高频问题并主动告知;从业务层面,员工想查看当天整体销售情况,它也能基于业务数据,自动整理并呈现出员工需要关注的核心指标。
但在 Agent 技术为实体企业带来效率革命的同时,率先尝鲜的两家企业,也都真实遭遇了落地过程中的安全与风险挑战。
古茗在测试使用中发现,OpenClaw 在执行特定搜索任务时,曾引发 API Token 持续滚动调用、无法自动终止,造成成本浪费;同时,安装运行时会向用户申请麦克风等与业务无关的系统权限。
银泰百货则遭遇了更为直接的业务干扰,Agent 在执行安全漏洞扫描任务时,将堡垒机的正常端口自行判断为漏洞并予以关闭,导致全司运维人员无法登录系统。
这些一线踩坑的真实案例,也揭开了 Agent 规模化落地背后,全行业都必须直面的核心命题:当 Agent 从提效工具变成能直接操作企业核心系统的数字员工,企业该如何识别并化解全维度的安全风险,实现安全可控的规模化落地?
围绕这一关乎 Agent 行业未来的核心问题,在一场名为“有模有样——AI 场景实践者说”安全专场直播中,五位来自产业一线与技术平台的核心实践者,从真实落地案例出发,全面拆解 Agent 时代的新型安全风险,并给出了覆盖全行业、全规模企业的安全落地方案。
他们分别是:
- 古茗科技集团网络安全总监刘星光
- 银泰商业集团安全负责人李亚博
- 阿里云智能集团安全产品线产品总监祝建跃
- 阿里云智能集团业务安全负责人郑雅敏
- 阿里云智能集团开放平台负责人何登成
在拆解安全风险之前,我们首先要厘清一个核心问题:像古茗、银泰百货这样看似与前沿 AI 技术距离较远的实体服务行业,为什么纷纷开始养龙虾?
答案藏在 Agent 技术带来的本质性变革里。
区别于传统生成式 AI 仅停留在对话交互与内容产出的层面,以 OpenClaw 为代表的 Agent,实现了从对话交互到自主执行的核心跨越,这也是它能快速破圈的根本原因。
就像刘星光在直播里说的:
我觉得 OpenClaw 最吸引人的地方,是它是一个自动化的程序。像以前的传统 AI,它可能更多的是生成内容、生成图片,它不可能去帮你执行相关任务。但 OpenClaw 完全不同,它只需要你定一个目标,它就可以真正帮你把东西执行下去。当一次执行不了,它还会尝试第二次,并把问题节点反馈给你。
这就是最核心的区别。之前的生成式 AI,说到底还是个辅助工具,你得一步步引导它,它给你的最终只是内容和建议,落地执行还是要靠人;但 Agent 是个真能干活的执行者,你只要告诉它最终要达成的结果,它会自己拆解任务、调用工具、串联流程、完成执行,甚至能自主解决过程中遇到的问题。
这种变化,带来的是真正的技术平权。不用你懂代码,不用懂复杂的系统操作,只要会用自然语言清晰表达需求,就能让 AI 帮你完成跨系统、多步骤的复杂工作。
正如郑雅敏所洞察的那样:
以往人机交互的范式是通过界面或窗口,流程是靠人去串联的。而有了 OpenClaw 之后,人只需下达一句话,它就能自动拆解任务、智能执行并完成结果。Agent 成为了人与数字世界的连接器,让人从繁琐的执行中解脱出来,更关注于高级的思考。
这种核心能力的变革,也让 Agent 技术的全行业渗透成为必然趋势。
从微观的企业组织层面来看,Agent 正从单纯的提效工具加速蜕变为企业的数字员工,并深刻重构企业的组织与工作模式。李亚博引用了马斯克的一句话来形容当下的状态:
现在的 Agent 就像给猴子递枪,我们还在摸索。但在未来,Agent 可能会变成我们的数字同事。我一个人可能带领着十个数字同事一起干活。
这就意味着,在未来,一个人可通过多 Agent 协同完成复杂的业务闭环,甚至催生出估值很高的“一人公司”模式。企业所管理的资产,将不再仅仅是物理资产和人类员工,更包含这一群庞大且高效的 Agent 资产。
从宏观的时代演进层面来看,Agent 技术的普及,如同智能手机当年对功能机的降维打击。它将成为数字时代企业和个人的基础能力。刘星光做了一个较为贴切的类比:
OpenClaw 之于当下,如同移动互联网早期的 iOS 与安卓。当技术红利的风口全面敞开,任何企业都无法拒绝这种指数级的效率飞跃。
效率的另一面,是全新的风险。
当 Agent 从技术概念走进实体企业的真实业务场景,它的自主执行的核心特性,也带来了传统 AI 时代从未出现过的全维度安全风险。古茗与银泰百货的一线实践,完整呈现了企业落地 Agent 过程中需要直面的五大核心隐患。
传统企业办公网有着严格的网络边界管控,但 Agent 的本地化部署,往往会在不知不觉中打破这一平衡。
古茗在部署过程中发现,OpenClaw 运行服务时需要开启 Gateway 网关,默认端口为 18789。安装时选择快速配置而非进阶配置,会直接开启该端口,且访问 Token 会明码显示在屏幕上,泄露风险极高。
刘星光在直播中还原了攻击者的视角:
假设站在红方的角度,我只需要在企业内网执行一条 Nmap 扫描插件的命令,扫描当前子网内有多少台机器开放了 18789 端口,就能迅速列出目标。随后通过漏洞定向打击,这台机器就会沦陷。更可怕的是,办公网通常是一个大的广播域,一旦单台终端中招,横向渗透的风险就会迅速扩散到整个网段。
更棘手的是,这种风险很容易引发内网的全面沦陷。企业办公网通常是一个大的广播域,最多只会把无线和有线网络分开,很少有公司会给每个团队划分单独的 VLAN,管理成本太高。一旦单台终端中招,横向渗透的风险就会迅速扩散到整个网段,这也是企业网络安全中最难解决的问题。
Agent 之所以强大,很大程度上依赖于其丰富的 Skills 生态。无论是连接数据库、调用搜索引擎还是执行特定脚本,都需要依赖第三方 Skills。但这正是最大的隐患所在。
李亚博在调研中发现了一个的数据:
现在行业生态里有几万个 Skills,基础调查显示至少 8% 的 Skills 存在主观恶意。
但现实情况是,绝大多数普通员工根本没有能力识别这些风险。安装时看到推荐插件,为了图省事直接全量勾选,觉得装得越多功能越强,却不知道这种行为,等同于直接为未知来源的第三方代码敞开了系统的最高权限大门。
这些 Markdown 文件里隐藏的恶意 URL、恶意执行逻辑、Prompt 注入后门,普通非技术员工根本无法识别,堪称“一键安装,即刻中招”。
这被阿里云安全团队定义为 Agent 时代的新型软件供应链攻击。
最棘手的地方在于,这些恶意代码是员工主动“请”进内网的,传统的边界防护体系对此几乎束手无策,成为了企业安全防护中极其致命的盲区。
除了端口和 Skills 的隐患之外,权限,也是安全风险的一大隐患。
为了让 Agent 能做更多的活儿,使用者往往会赋予它很高的系统权限。但这种缺乏最小权限原则约束的做法,也很容易引发业务事故与隐私泄露。
银泰百货遭遇的堡垒机端口被关事故,就是非常典型的权限失控案例。
为了让 Agent 完成全系统的安全漏洞扫描,企业给它开放了端口管理的高级权限,最终却导致它仅凭技术判断,就关闭了堡垒机的核心端口,造成全司运维人员无法登录系统的严重事故。
古茗在实践中也发现了同样的问题,刘星光提到,OpenClaw 甚至会申请麦克风等与业务完全无关的系统权限,程序在后台到底用这些权限做了什么、执行了哪些操作,用户完全不可视、不可控。更深层的隐患在于,部分员工为了简化操作,可能会赋予 OpenClaw 过高的系统权限,甚至把各类凭证、API 密钥交由 Agent 管理,一旦权限失控,企业核心资产将面临风险。
祝建跃对此点出了问题的核心,他认为,Agent 的自主推理与执行特性,决定了其下一步操作充满了不确定性。将系统核心凭证、API 密钥等超级权限毫无保留地交由一个存在幻觉可能性的 AI 去管理,是企业 Agent 落地中最普遍的高危风险点。
成本与数据,同样也是 Agent 真正接入业务时的安全隐患。
古茗遭遇了真实的成本失控案例。刘星光在直播中分享,让 OpenClaw 执行互联网内容搜索任务时,Agent 持续调用 API Token,耗时二十多分钟仍未自动终止,只能手动停止任务:
它不可控的点在于,你不知道它要搜多少次,它可能搜 1 万次都说不准。不仅任务周期远超预期,还造成了严重的成本浪费,就算中途停止,之前消耗的 Token 也已经浪费了。
数据安全方面亦是如此。
企业为了让 Agent 完成业务任务,往往需要向其开放核心经营数据、订单数据、机密文件等敏感信息,却无法管控这些数据是否会被传输至大模型、通过插件泄露至公网,数据安全完全处于不可控状态。
上述四大风险,最终指向了一个最核心的行业困境:面对 Agent 时代,企业沿用了十几年的传统安全防护体系,正面临严峻挑战,难以有效应对 Agent 时代的新型攻击模式。
祝建跃指出,企业传统的边界防护等安全体系,无法应对 Prompt 注入、AI 供应链攻击、Agent 自主高危操作等新型攻击模式。
郑雅敏补充道,Agent 的出现扩大了企业网络攻击面,对传统边界防护体系带来颠覆性挑战,企业面临体系性防护失效风险。
一边是不可逆转的行业趋势,一边是步步惊心的安全风险,那么企业到底该如何安全养虾?
基于古茗、银泰百货等企业的一线落地实践,阿里云已经有了一套覆盖全场景、全规模企业的 Agent 安全落地方案,核心逻辑只有一个:先扎紧安全的笼子,再放开效率的手脚。
阿里云给出的 Agent 落地首要防护原则,是最小权限原则搭配独立环境隔离。它是所有安全防护的基础,也是经过一线实践验证的、有效且简便的风险防控方案。
这个原则拆解开来其实很简单:
- 权限层面,仅为 Agent 开放完成核心任务的必要权限,仅安装业务必需的 Skills 插件,多余的权限一律关闭,没用的插件一律不装;
- 环境层面,为 Agent 部署独立的沙箱运行环境,即便单节点被入侵,也只能在沙箱内运行,无法实现风险扩散,更影响不到企业的核心业务系统。
目前古茗计划采用阿里云 Landing Zone 解决方案,为 OpenClaw 部署独立隔离的运行环境,该方案可实现环境隔离与权限精细化管控。
阿里云开放平台负责人何登成介绍,AI 场景适配后的 Landing Zone 方案,不仅实现业务与创新环境的安全隔离,还能实现创新业务成本独立核算,兼顾安全、效率与成本管控。
刘星光也直言,独立隔离的运行环境,是企业安全落地 Agent 的核心基础,即便单只龙虾出现安全风险,也能将影响控制在沙箱之内。
有了安全防护的基础,针对企业规模化部署 Agent 后的管理与防护痛点,阿里云还推出了企业级 Agent 安全中心,构建了事前、事中、事后的全闭环防护体系。
祝建跃详细介绍了该产品的四大核心能力:
- 其一,针对企业“不知道风险在哪”的核心痛点,提供风险大盘可视化能力,可自动盘点企业全量 Agent 节点,将全公司 Agent 资产、风险状态统一呈现、批量巡检,解决企业“不知道自己养了多少只龙虾”的管理盲区;
- 其二,针对 Skills 供应链风险,提供 Skills 前置拦截与扫描能力,为恶意插件增设防火墙,在安装前完成静态与动态双重风险检测,从源头堵上供应链漏洞;
- 其三,针对权限失控与操作不可视问题,提供全链路行为审计能力,完整记录 Agent 的全量操作、工具调用、地址访问行为,实现风险实时告警、事故可追溯、可定责;
- 其四,配套 AI 安全护栏、Agent ID Guard 身份管控与 RAM 身份体系,实现模型输入输出的风险拦截、企业员工与 Agent 权限的统一精细化管控,形成全流程防护闭环。
李亚博对这套体系给出了比较务实的评价:
Agent 安全中心从三个维度解决了企业的核心困扰。一是通过风险大盘让企业清晰掌握风险全貌,解决了“知道有风险、却不知道风险在哪”的核心痛点;二是为恶意 Skills 提供了前置拦截能力,筑牢了供应链安全防线;三是全链路审计能力让安全事故可追溯、可定责,完善了事后处置体系。
除了规模化部署之外,对于中小企业与个人用户的轻量化部署需求,阿里云基于云原生能力提供了低门槛、低成本的默认安全方案。
郑雅敏介绍,阿里云无影、轻量服务器都提供了 OpenClaw 一键部署镜像,默认关闭公网端口暴露,公网映射采用随机端口,规避了默认端口被黑产扫描攻击的风险;同时系统会自动开展公网暴露端口巡检,一旦发现用户将 18789 等高危端口开放至公网,会第一时间提醒用户整改。
这套安全方案的优势在于,底层基础设施安全已经由阿里云全面兜底,所以用户就不需要再操心服务器、网络层面的基础安全问题,只需要聚焦 Agent 的使用行为与权限管控即可。
由此,大幅降低了 Agent 安全部署的技术门槛与成本投入。
本次专场嘉宾形成了统一共识:
未来 Agent 将成为企业操作云资源的核心主体,阿里云的核心目标,是让 OpenClaw、各类 Skills 与全品类 Agent,在阿里云上既能实现全业务流程的高效跑通,又能从底层杜绝安全、成本、稳定性的全维度风险,让全行业都能放心落地 Agent 技术。
何登成表示,阿里云的核心方向,是打造一朵”Agent 友好”的云,让 Agent 在操作阿里云资源时,能够从底层保障安全性,解决了企业落地过程中的成本、稳定性与安全风险顾虑。
回顾科技演进的脉络,每一次生产力工具的跃升,都会不可避免地带来旧有安全边界的重构。
古茗、银泰百货等实体企业的 OpenClaw 落地实践,标志着 Agent 平民化时代的全面到来。Agent 技术已经从程序员圈层的技术尝鲜,渗透到了零售、餐饮、百货等多个实体行业,从技术团队的专用工具,变成了普通员工都能上手的提效利器,正在成为未来企业数字化的基础配置。
在这样的行业趋势下,Agent 时代的安全,已不再是企业数字化的加分项,而是企业拥抱技术创新、实现规模化落地的必备入场券。企业对 Agent 技术的应用,不能陷入“重效率、轻安全”的误区,一线实践中的诸多案例已经证明,脱离安全管控的 Agent 应用,不仅无法实现持续效率提升,还可能给企业带来业务中断、数据泄露、成本失控等风险。
Agent 技术的浪潮势不可挡,其对企业生产经营模式、组织架构的重构,将成为数字时代最核心的变革之一。而 Agent 时代的红利,永远属于那些既能拥抱创新,又能守住安全底线的企业。只有构建起全维度、全闭环的 Agent 安全防护体系,企业才能真正驾驭 Agent 技术的能力,在效率革命中实现安全、稳定、可持续的增长。
综上所述,随着 AI Agent 技术在企业端的渗透率不断提升,安全架构的演进必须与技术创新同步。未来的企业安全体系,将不再仅仅是防御外部攻击,更在于如何规范和管理内部的智能体行为。建立可信的 Agent 运行环境,完善审计与权限管理机制,将是企业数字化建设中不可忽视的基础设施。
