背景
经过了3月份的疯狂后,肉眼可见OpenClaw智能体(以下称AI智能体)们已经跨越了Gartner炒作曲线的泡沫顶峰,眼看就要跌向泡沫破灭的谷底了。不过没关系,接下来就是漫长的复苏期,可以让优秀的技术慢慢发酵。接下来计划挖个坑,写一系列AI与安全的文章,大体分为几个大类:
- AI自身安全
- AI赋能安全
- AI杂谈
今天先讲讲AI自身安全:企业如何管控AI智能体。其实这类的文章汗牛充栋,但是绝大多数一眼就是AI生成,全文都是正确废话。以下是Cocoa古法写作手敲出来的。
很多人把AI安全简单理解为”封禁”或”放任”的二选一,但实际上,企业安全管控的核心应该是建立一套完整的治理体系——从可见到可控再到可审计。
一、可见
要让AI智能体在企业内安全运行,首先要解决的是”看见”的问题。
终端侧
- 端口:18789(OpenClaw默认端口)
- 进程:openclaw、qclaw、windclaw
网络侧
- 飞书、钉钉等IM调用接口
- 大模型API接口
管理侧
在公司发布了通知:禁止擅自在公司配发的设备上使用公司网络安装使用OpenClaw,如果确实需要使用,需要登记报备。这是管理侧的基础措施——先建立”申报-审批”机制,掌握谁在使用、用于什么目的。
二、可控
可见只是第一步,更重要的是建立控制能力。
网络侧控制
- 扫描18789端口,网关禁止暴露
- 不允许连接第三方API,统一通过大模型网关接入
- 可使用OneAPI等中转站,为每个用户分配API Key,统一计费、日志审计
权限与隔离
- 建立企业级Skill和MCP中心,统一提供技能和工具插件
- 最小化运行权限,不允许使用root启动
- 推荐通过Docker容器隔离运行环境
三、可审计
审计的核心是要能定位到人。
AI替代了人,但AI签不了网络安全责任承诺书。小龙虾就像是一个具备基本知识的实习生,但这个实习生不能承担责任——出了事情,还是要能找到具体的人来背锅。所以必须将AI使用与具体人员、部门关联起来。
当前的问题
问题是,小龙虾最初是作为个人助手设计的,并非ToB的成熟产品,各种功能和数据隔离做得不好:
- 操作不可追溯:一个部门打开网页辅助代填,另一个人也能看到这个网页,如果另一个人做了什么操作,可能就没法定责。
- 数据隔离不足:证券公司都有信息隔离墙,但如果大家连同一个小龙虾,B部门可能就能看到A部门的数据。
- 高危行为审计薄弱:现在有些Skill在做高危动作时,会触发人工确认,但这些都是提示词级的控制,很容易被绕过,而且大模型有上下文限制,可能后面就会忘记了。
展望
现在很多厂商已经开始开发企业化的”龙虾”产品了,相信数据隔离、权限控制、审计追溯这些企业级需求会逐步得到解决。在此之前,企业安全团队需要在”赋能业务”和”控制风险”之间找到平衡点。
四、总结
上面其实是Cocoa 3月在参加行业网络和数据安全沙龙的圆桌讨论的发言稿,作为第一篇引言,提一些整体的思路,后面慢慢补齐详细的内容,希望可以抛砖引玉,给大家一些真实的可实际落地的管控思路。
在AI技术快速迭代的当下,安全团队既要保持警惕,也要拥抱变化——毕竟,阻挡技术进步从来不是安全的目的,让技术在安全边界内发挥价值才是。
PS. 一些AI碎碎念
关于AI赋能
上个月Cocoa参加了几个业务部门关于OpenClaw的需求会,深切感受到业务对于AI智能体的迫切需求。其实安全部门对于AI新技术的心情是很矛盾的。Cocoa自己也装了,确实能力很强,可以赋能业务,但又担心出事情。在群里Cocoa也看到有人讨论业务使用”小龙虾”的问题,有人就说:希望哪个证券公司赶快业务用上,然后出个大事件,被监管处罚了,这样我们安全正好就用这个理由把全部禁掉了。这个思路其实不对。对于新技术,我们还是要想办法在安全合规可控的情况下,让它能够赋能业务,帮助我们实现数字化转型。
关于国产 Coding Plan
浓眉大眼的阿里巴巴bailian竟然从4.13开始停止lite套餐的续费,真的是玩不起了。国内的AI Provider越来越鸡贼,赶紧最后续了一波到6月。还好之前0元续了次月,算下来一共47.9元用3个月的qwen3.5plus和glm5.0,也不算亏了。