近日，针对近期在企业智能办公场景中迅速普及的开源AI智能体OpenClaw（俗称“龙虾”），工业和信息化部（工信部）于2026年3月11日通过其网络安全威胁和漏洞信息共享平台（NVDB）发布重要安全预警。

公告详细阐述了OpenClaw在应用过程中面临的供应链攻击、内网横向扩散及合规缺失等严峻风险，并正式发布了“六要六不要”安全使用建议，呼吁相关企业高度重视AI智能体的安全治理。

对此，道普信息迅速响应，基于对工信部预警的深度解读及自身技术积累，正式推出OpenClaw全生命周期安全检测与防护加固服务。该服务旨在帮助企业在享受AI提效红利的同时，有效规避行为失控、供应链投毒、数据泄露及网络暴露四大核心风险，构建可信、可控、可溯的AI应用生态。

一、风险警示：AI智能体成内网渗透新跳板

工信部公告指出，OpenClaw在提升办公效率的同时，若缺乏严格的安全管控，极易引入异常插件和恶意“技能包”，引发供应链攻击；其一旦在内网失守，将导致风险横向扩散，造成对接系统平台及数据库的敏感信息泄露。此外，审计追溯机制的缺失也使得企业面临巨大的合规挑战。

道普信息资深安全专家分析认为，当前OpenClaw的安全隐患主要集中在四大领域：

网络暴露威胁：API接口未授权访问及通信链路被窃听篡改，使得智能体实例沦为入侵企业内网的“合法”门户。

行为失控风险：提示词注入、逻辑幻觉或死循环可能导致智能体越权操作、资源耗尽甚至做出非预期决策。

供应链安全隐患：第三方Skill插件可能携带恶意后门，或其依赖库存在高危漏洞，成为攻击者渗透内网的跳板。

数据泄露危机：配置文件硬编码密钥、敏感数据未脱敏出域以及审计日志缺失，让数据资产处于“裸奔”状态。

二、五大维度构建全方位防护边界

针对上述风险，道普信息推出的专项服务涵盖从资产发现到深度渗透的全流程防护，具体包括五大核心模块：

网络暴露检测与加固：消除“影子资产”

利用定制脚本与流量分析手段，道普信息协助企业全面梳理内网、云环境及混合架构中所有存活的OpenClaw实例，彻底消除难以管理的“影子资产”。服务涵盖本地端口监听检测、公网暴露扫描及反向代理风险检测，帮助企业构建全方位的防护边界，防止实例非法外联或被外部直接访问。

配置文件安全审计与加固：落实最小权限原则

配置错误是AI智能体安全的最大短板。道普信息通过配置文件全量扫描与合规性检查，结合Docker容器安全配置检测，确保企业严格遵循“最小权限原则”。服务深入分析身份认证机制、绑定地址设置、权限分配策略及容器隔离配置，从源头上降低因配置不当引发的安全风险，为AI智能体打造坚固的运行基座。

Skill插件安全扫描：构建可信AI应用生态

针对高风险第三方Skill插件，道普信息依托专用工具进行深度静态代码审计，精准定位危险函数调用识别恶意Skill，通过溯源依赖关系与来源切断供应链投毒路径。在动态检测环节，团队于隔离环境中模拟Skill执行过程，实时监控网络连接、文件操作及系统调用，确保插件行为可控。

行为日志配置分析与加固：实现全程可追溯

为满足日益严格的监管要求，道普信息对企业的日志配置进行专项检测与加固，确保OpenClaw的所有关键操作、异常行为及数据交互均有据可查。通过完善日志审计机制，帮助企业建立全程可追溯的安全闭环，从容应对合规审查与安全事件溯源。

漏洞扫描与渗透演练：夯实底层安全基座

针对OpenClaw复杂的应用场景，道普信息使用专业漏洞扫描工具对OpenClaw运行环境进行自动化检测，并结合人工以及自动化渗透测试模拟真实攻击场景。依据漏洞严重程度，团队将提供科学的修复优先级建议和定制化加固方案，确保“龙虾”本身及其运行环境的稳健与安全。

随着AI智能体与企业核心业务的深度融合，安全已跃升为其规模化落地的基石。道普信息表示，将严格对标工信部的指导方针，持续迭代OpenClaw安全防护技术体系。我们致力于助力中国企业在数字化转型的浪潮中，在充分释放AI智能体效能的同时，牢牢守住网络安全的底线，护航数字经济行稳致远。

联系方式：

房运德 13361060114

邮箱：fangyunde@sdic.com.cn