问题——能力“越强”,暴露面“越大” 近期,“开放之爪”在开源社区热度攀升。其特点在于可将即时通讯等交互入口与自动化执行系统深度耦合,并通过技能插件快速扩展写作、检索、文件处理乃至系统操作等能力。此外,围绕该工具的安全隐患接连曝光:开源平台安全审计报告显示其存在数量众多的安全缺陷,其中部分被认定为严重级别;国际网络安全研究机构披露其核心系统曾出现可被恶意网页利用、进而接管智能体的关键漏洞;国内安全企业亦通报发现影响面广的高危问题。多源信息表明,此类智能体一旦被配置不当或被攻击链条利用,可能造成数据泄露、权限被夺取、系统被植入后门等后果。 原因——分层架构与插件生态带来“可扩展”与“可被利用”的双刃效应 业内人士分析,风险集中暴露并非偶然。一是架构复杂度提升带来的系统性脆弱。智能体普遍采用分层架构:上层负责对话与任务编排,中层负责工具调用与流程控制,下层连接浏览器、文件系统、第三方应用接口等资源。层级越多、接口越多,潜在攻击面越大,任何一处权限边界、身份鉴别、密钥管理的瑕疵,都可能被放大为链式风险。 二是插件机制叠加供应链问题。“开放之爪”执行能力很大程度依赖社区提供的技能插件。若平台缺乏严格的代码审计、来源追溯与签名校验,攻击者可通过发布携带恶意代码或隐蔽指令的插件实现“投毒”。有关研究数据表明,面向该工具的恶意插件已被持续发现,且上传门槛较低,增加了防范难度。 三是提示词注入等新型攻击更易穿透传统防线。提示词注入既可能来自直接输入,也可能来自网页、文档等外部内容的“间接注入”。智能体在执行检索、阅读、总结时会将外部信息纳入决策流程,若外部内容被污染,恶意指令可能在用户无感知情况下触发。由于智能体常被授予更高的文件访问与系统操作权限,一旦被诱导执行错误指令,风险将从“信息层”跃迁到“系统层”。 影响——从个人数据到企业内网,风险外溢值得高度警惕 对个人用户而言,最直接的风险是隐私与账号泄露。智能体在处理邮件、文档、聊天记录时可能触达大量敏感信息,若被恶意插件或注入攻击操控,用户的文件、密钥、会话内容可能被窃取。 对企业组织而言,风险更具“放大效应”。不少企业尝试将智能体接入办公系统、知识库、工单与代码仓库,以提升效率。但在权限治理、网络隔离、审计监测不足的情况下,智能体可能成为潜在“后门”,被攻击者用于横向移动、长期驻留、窃取商业秘密乃至破坏业务连续性。基于风险管控考量,已有多国科技企业对员工在办公设备上使用该工具作出限制或禁用安排。 在专业场景中,风险也呈现更强的合规敏感性。4月1日,我国国家知识产权局发布风险提示指出,“开放之爪”等智能体工具被曝光默认安全配置脆弱,易引发严重安全风险;同时,使用此类工具辅助撰写专利申请文件,可能带来内容失真、权利归属不清、敏感信息外泄等多重隐患。这也提示智能体应用不能仅以“效率提升”衡量,更需将安全、合规与质量控制纳入同一框架。 对策——从“可用”转向“可控”,把安全前置到部署全流程 多方观点认为,治理此类智能体风险,需要用户、平台与监管形成合力。 对个人与企业用户而言,应坚持最小权限原则,不在涉密设备、核心生产网及存有敏感信息的终端上直接运行;确需使用时,建议采用沙箱或隔离环境,限制文件系统、剪贴板、浏览器与系统命令的访问范围,并启用持续监控与日志审计,及时发现异常调用与数据外传迹象。 对平台与开发者而言,插件生态要建立更严格的准入与追溯机制,包括强制签名、版本锁定、依赖清单、自动化安全扫描与漏洞响应流程,降低供应链攻击成功率;同时改进默认配置,明确高风险权限的启用条件与提示,避免“开箱即高权限”。 对行业与监管层面,已有国家机构发布安全指南与风险提醒,强调在涉及敏感数据处理时要谨慎评估。下一步可推动形成更可操作的合规清单与评测规范,例如权限分级、数据出境与留存策略、第三方组件管理要求等,为企业部署提供明确边界。 前景——智能体将加速进入生产环节,治理能力决定应用边界 从技术演进看,智能体将从“辅助工具”走向“流程参与者”,在研发、法务、客服、知识管理等环节承担更重的自动化职责。与此同时,其高权限、强执行与多工具连接属性,也决定了安全治理必须同步升级:不仅要补漏洞,更要重塑信任机制,把“插件供应链安全”“提示词注入防护”“权限与数据最小化”“全链路可审计”作为基础能力。谁能先把风险关进制度与技术的“笼子”,谁才能更稳妥地释放智能体的生产力价值。
"开放之爪"事件反映出新技术落地的常见矛盾:能力越强,风险往往越集中。面对智能体加速进入生产与办公场景——安全不能事后补救——而应贯穿研发、部署、使用与监管全过程。在可控的权限、可信的插件供应链和可追溯的审计体系支撑下,智能技术才能更稳妥地释放价值,为数字经济发展提供可靠保障。