中國信通院與騰訊云聯合發布“云上養蝦安全七條”

隨著OpenClaw等AI智能體的爆發式普及，從個人開發者到企業級應用，“養蝦”正成為云上智能化轉型的熱潮。然而，發展極快的開源形態及快速全面的部署落地也帶來了前所未有的安全挑戰。

為助力OpenClaw技術在安全前提下實現云上產業化落地，中國信息通信研究院（以下簡稱“信通院”）與騰訊云共同提出“云上養蝦安全七條”，為產業界提供了一套安全基線。此前，針對于龍蝦安全，騰訊云推出“龍蝦安全工具箱”，助力用戶安心“養蝦”。

“養蝦”風險顯化，結構性安全與生態挑戰并存

隨著“養蝦”熱潮興起，安全風險日益凸顯。今年2月，工業和信息化部網絡安全威脅和漏洞信息共享平臺（NVDB）就為OpenClaw實例的配置不當和使用風險發布專項預警。

當前，OpenClaw面臨的核心風險集中在提示詞注入攻擊、權限與隔離機制短板、供應鏈生態隱患、審計追溯能力缺失四大方面。為響應監管要求，推動技術安全落地，信通院與騰訊云聯合提出“云上養蝦安全七條”，形成覆蓋配置、運行、生態、應急全鏈路的云上AI智能體安全基線：

版本合規化：從官方渠道獲取并保持最新穩定版本，避免使用未經安全審核的第三方鏡像或老舊版本。

網絡收斂化：避免公網直接暴露，通過內網隔離、VPN/零信任通道訪問，防止橫向移動與外部攻擊。

權限最小化：使用專用低權限賬戶運行，部署于沙箱/容器/虛擬機環境，高危操作需二次確認或人工審批。

數據隱私化：加密存儲敏感信息，定期備份，嚴格管控數據訪問，并對重要數據采取防泄露保護。

技能規范化：優先選擇官方認證或經過安全審查的技能包，審慎下載外部公開包，避免引入惡意邏輯或高風險插件。

接入防控化：部署提示詞注入防護、內容安全防護等安全產品，實施終端安全管控、入口訪問管控，防止釣魚與惡意輸入。

審計閉環化：上傳云端日志確保日志可集中管理與查詢，建立異常應急處置流程，形成漏洞修復與風險預警的長效機制。

這“七條”不僅是技術規范，更旨在為蓬勃發展的云上智能體生態提供可落地的安全指引，推動產業在安全前提下實現高質量發展。

騰訊龍蝦安全工具箱：分層防護，助力“養蝦”無憂

為應對“龍蝦”類應用帶來的安全挑戰，騰訊推出“龍蝦安全工具箱”，針對云端部署、辦公網環境、個人電腦三大部署場景，提供覆蓋全生命周期的一站式安全防護。與此同時，騰訊還將部分核心能力封裝成AI Skills，用戶只需通過自然語言對話，就能讓小龍蝦實現自我防護，將安全能力更便捷地融入“養蝦”流程中。

針對云端部署的開發者與企業，騰訊云Lighthouse（輕量應用服務器）、騰訊云ClawPro（OpenClaw企業版）及AI Agent安全中心、AI Agent安全網關，構筑從基礎設施到Agent管理的整體防御方案，確保企業“看得見、可追溯、管得住、審得清”。

針對辦公網環境部署的企業，騰訊iOA全新防護方案打造六大自動化聯動防線，圍繞“龍蝦”「安裝滲透→進程執行→橫向訪問→數據竊取→外傳出逃」實現全鏈路安全閉環。

針對廣大個人用戶，騰訊電腦管家18.0升級「龍蝦管家-AI安全沙箱」功能，一鍵隔離，將高權限操作納入安全可控的邊界。

開放安全Skills，EdgeOne ClawScan一句話即可完成全面安全體檢并輸出安全報告；HaS Anonymizer完全本地運行，可智能識別并替換敏感信息，實現數據“可用不可見”。

推動技術走向產業化，離不開最底層的安全保障。未來，騰訊將持續推進產品功能迭代升級，深化與產業伙伴的合作，共同推動云上AI生態的可信與繁榮。