OpenClaw的風，已經吹進了奶茶圈

允中 發自 凹非寺
量子位 | 公眾號 QbitAI

養龍蝦（OpenClaw）的風，終于也是吹進了奶茶圈。

在新茶飲行業，高峰期的訂單峰值監控、多區域門店的運營數據匯總、跨系統的業務異常排查，一直是茶飲品牌技術團隊的日常高頻工作。

而古茗在測試使用OpenClaw的過程中發現，技術團隊只需要跟龍蝦提問“當前的QPS是多少”、“訂單狀態是多少”等問題，它就能串聯整個流程并輸出結果，員工不再需要登錄多個平臺查看，顯著提效。

不止是新茶飲賽道，這股Agent落地的浪潮，也已經滲透進了百貨零售行業。

作為國內頭部百貨企業，銀泰百貨的日常運營痛點，是既需要面對線下數十家門店的銷售數據復盤、營銷活動效果分析，也需要保障全國門店信息系統的安全穩定運行。

而OpenClaw的到來，對于銀泰百貨來說，相當于在其原有“銀泰精靈”的基礎上新增了載體，讓員工使用起來更便捷、觸達效率更高。比如對接內部自研的應用監控系統，以往監控粒度較細，現在它可以自動匯總當天高頻問題并主動告知；從業務層面，員工想查看當天整體銷售情況，它也能基于業務數據，自動整理并呈現出員工需要關注的核心指標。

但在Agent技術為實體企業帶來效率革命的同時，率先嘗鮮的兩家企業，也都真實遭遇了落地過程中的安全與風險挑戰。

古茗在測試使用中發現，OpenClaw在執行特定搜索任務時，曾引發API Token持續滾動調用、無法自動終止，造成成本浪費；同時，安裝運行時會向用戶申請麥克風等與業務無關的系統權限。

銀泰百貨則遭遇了更為直接的業務干擾，Agent在執行安全漏洞掃描任務時，將堡壘機的正常端口自行判斷為漏洞并予以關閉，導致全司運維人員無法登錄系統。

這些一線踩坑的真實案例，也揭開了Agent規模化落地背后，全行業都必須直面的核心命題：當Agent從提效工具變成能直接操作企業核心系統的數字員工，企業該如何識別并化解全維度的安全風險，實現安全可控的規模化落地？

圍繞這一關乎Agent行業未來的核心問題，在一場名為“有模有樣——AI場景實踐者說”安全專場直播中，五位來自產業一線與技術平臺的核心實踐者，從真實落地案例出發，全面拆解Agent時代的新型安全風險，并給出了覆蓋全行業、全規模企業的安全落地方案。

他們分別是：

• 古茗科技集團網絡安全總監劉星光
• 銀泰商業集團安全負責人李亞博
• 阿里云智能集團安全產品線產品總監祝建躍
• 阿里云智能集團業務安全負責人鄭雅敏
• 阿里云智能集團開放平臺負責人何登成

企業為什么急著給Agent“遞槍”？

在拆解安全風險之前，我們首先要厘清一個核心問題：像古茗、銀泰百貨這樣看似與前沿AI技術距離較遠的實體服務行業，為什么紛紛開始養龍蝦？

答案藏在Agent技術帶來的本質性變革里。

區別于傳統生成式AI僅停留在對話交互與內容產出的層面，以OpenClaw為代表的Agent，實現了從對話交互到自主執行的核心跨越，這也是它能快速破圈的根本原因。

就像劉星光在直播里說的：

我覺得OpenClaw最吸引人的地方，是它是一個自動化的程序。像以前的傳統AI，它可能更多的是生成內容、生成圖片，它不可能去幫你執行相關任務。但OpenClaw完全不同，它只需要你定一個目標，它就可以真正幫你把東西執行下去。當一次執行不了，它還會嘗試第二次，并把問題節點反饋給你。

這就是最核心的區別。之前的生成式AI，說到底還是個輔助工具，你得一步步引導它，它給你的最終只是內容和建議，落地執行還是要靠人；但Agent是個真能干活的執行者，你只要告訴它最終要達成的結果，它會自己拆解任務、調用工具、串聯流程、完成執行，甚至能自主解決過程中遇到的問題。

這種變化，帶來的是真正的技術平權。不用你懂代碼，不用懂復雜的系統操作，只要會用自然語言清晰表達需求，就能讓AI幫你完成跨系統、多步驟的復雜工作。

正如鄭雅敏所洞察的那樣：

以往人機交互的范式是通過界面或窗口，流程是靠人去串聯的。而有了OpenClaw之后，人只需下達一句話，它就能自動拆解任務、智能執行并完成結果。Agent成為了人與數字世界的連接器，讓人從繁瑣的執行中解脫出來，更關注于高級的思考。

這種核心能力的變革，也讓Agent技術的全行業滲透成為必然趨勢。

從微觀的企業組織層面來看，Agent正從單純的提效工具加速蛻變為企業的數字員工，并深刻重構企業的組織與工作模式。李亞博引用了馬斯克的一句話來形容當下的狀態：

現在的Agent就像給猴子遞槍，我們還在摸索。但在未來，Agent可能會變成我們的數字同事。我一個人可能帶領著十個數字同事一起干活。

這就意味著，在未來，一個人可通過多Agent協同完成復雜的業務閉環，甚至催生出估值很高的“一人公司”模式。企業所管理的資產，將不再僅僅是物理資產和人類員工，更包含這一群龐大且高效的Agent資產。

從宏觀的時代演進層面來看，Agent技術的普及，如同智能手機當年對功能機的降維打擊。它將成為數字時代企業和個人的基礎能力。劉星光做了一個較為貼切的類比：

十幾二十年前手機只是用來撥號的，而現在全是智能手機。如果你現在說不會用智能手機、不會用上面的APP，必然會被時代淘汰。未來也是如此，如果企業不會用Agent，不會跟AI對話，那可能就會面臨被時代拋棄的風險。

OpenClaw之于當下，如同移動互聯網早期的iOS與安卓。當技術紅利的風口全面敞開，任何企業都無法拒絕這種指數級的效率飛躍。

一線踩坑實錄：Agent落地的5個致命暗坑

效率的另一面，是全新的風險。

當Agent從技術概念走進實體企業的真實業務場景，它的自主執行的核心特性，也帶來了傳統AI時代從未出現過的全維度安全風險。古茗與銀泰百貨的一線實踐，完整呈現了企業落地Agent過程中需要直面的五大核心隱患。

端口暴露：一個默認配置，就能讓內網全線失守

傳統企業辦公網有著嚴格的網絡邊界管控，但Agent的本地化部署，往往會在不知不覺中打破這一平衡。

古茗在部署過程中發現，OpenClaw運行服務時需要開啟Gateway網關，默認端口為18789。安裝時選擇快速配置而非進階配置，會直接開啟該端口，且訪問Token會明碼顯示在屏幕上，泄露風險極高。

劉星光在直播中還原了攻擊者的視角：

假設站在紅方的角度，我只需要在企業內網執行一條Nmap掃描插件的命令，掃描當前子網內有多少臺機器開放了18789端口，就能迅速列出目標。隨后通過漏洞定向打擊，這臺機器就會淪陷。更可怕的是，辦公網通常是一個大的廣播域，一旦單臺終端中招，橫向滲透的風險就會迅速擴散到整個網段。

更棘手的是，這種風險很容易引發內網的全面淪陷。企業辦公網通常是一個大的廣播域，最多只會把無線和有線網絡分開，很少有公司會給每個團隊劃分單獨的VLAN，管理成本太高。一旦單臺終端中招，橫向滲透的風險就會迅速擴散到整個網段，這也是企業網絡安全中最難解決的問題。

Skills陷阱：8%的插件帶惡意

Agent之所以強大，很大程度上依賴于其豐富的Skills生態。無論是連接數據庫、調用搜索引擎還是執行特定腳本，都需要依賴第三方Skills。但這正是最大的隱患所在。

李亞博在調研中發現了一個的數據：

現在行業生態里有幾萬個 Skills，基礎調查顯示至少8% 的Skills存在主觀惡意。

但現實情況是，絕大多數普通員工根本沒有能力識別這些風險。安裝時看到推薦插件，為了圖省事直接全量勾選，覺得裝得越多功能越強，卻不知道這種行為，等同于直接為未知來源的第三方代碼敞開了系統的最高權限大門。

這些Markdown文件里隱藏的惡意URL、惡意執行邏輯、Prompt注入后門，普通非技術員工根本無法識別，堪稱“一鍵安裝，即刻中招”。

這被阿里云安全團隊定義為Agent時代的新型軟件供應鏈攻擊。

最棘手的地方在于，這些惡意代碼是員工主動“請”進內網的，傳統的邊界防護體系對此幾乎束手無策，成為了企業安全防護中極其致命的盲區。

權限失控：給AI一把鑰匙，等于埋下定時炸彈

除了端口和Skills的隱患之外，權限，也是安全風險的一大隱患。

為了讓Agent能做更多的活兒，使用者往往會賦予它很高的系統權限。但這種缺乏最小權限原則約束的做法，也很容易引發業務事故與隱私泄露。

銀泰百貨遭遇的堡壘機端口被關事故，就是非常典型的權限失控案例。

為了讓Agent完成全系統的安全漏洞掃描，企業給它開放了端口管理的高級權限，最終卻導致它僅憑技術判斷，就關閉了堡壘機的核心端口，造成全司運維人員無法登錄系統的嚴重事故。

古茗在實踐中也發現了同樣的問題，劉星光提到，OpenClaw甚至會申請麥克風等與業務完全無關的系統權限，程序在后臺到底用這些權限做了什么、執行了哪些操作，用戶完全不可視、不可控。更深層的隱患在于，部分員工為了簡化操作，可能會賦予OpenClaw過高的系統權限，甚至把各類憑證、API密鑰交由Agent管理，一旦權限失控，企業核心資產將面臨風險。

祝建躍對此點出了問題的核心，他認為，Agent的自主推理與執行特性，決定了其下一步操作充滿了不確定性。將系統核心憑證、API密鑰等超級權限毫無保留地交由一個存在幻覺可能性的AI去管理，是企業Agent落地中最普遍的高危風險點。

成本與數據雙失控：看不見的消耗，守不住的核心資產

成本與數據，同樣也是Agent真正接入業務時的安全隱患。

古茗遭遇了真實的成本失控案例。劉星光在直播中分享，讓 OpenClaw 執行互聯網內容搜索任務時，Agent 持續調用 API Token，耗時二十多分鐘仍未自動終止，只能手動停止任務：

它不可控的點在于，你不知道它要搜多少次，它可能搜1萬次都說不準。不僅任務周期遠超預期，還造成了嚴重的成本浪費，就算中途停止，之前消耗的Token也已經浪費了。

數據安全方面亦是如此。

企業為了讓Agent完成業務任務，往往需要向其開放核心經營數據、訂單數據、機密文件等敏感信息，卻無法管控這些數據是否會被傳輸至大模型、通過插件泄露至公網，數據安全完全處于不可控狀態。

體系性風險：傳統安全防護體系不好用了

上述四大風險，最終指向了一個最核心的行業困境：面對Agent時代，企業沿用了十幾年的傳統安全防護體系，正面臨嚴峻挑戰，難以有效應對Agent時代的新型攻擊模式。

祝建躍指出，企業傳統的邊界防護等安全體系，無法應對Prompt注入、AI供應鏈攻擊、Agent自主高危操作等新型攻擊模式。

鄭雅敏補充道，Agent的出現擴大了企業網絡攻擊面，對傳統邊界防護體系帶來顛覆性挑戰，企業面臨體系性防護失效風險。

從底層原則到全場景落地的安全養蝦指南

一邊是不可逆轉的行業趨勢，一邊是步步驚心的安全風險，那么企業到底該如何安全養蝦？

基于古茗、銀泰百貨等企業的一線落地實踐，阿里云已經有了一套覆蓋全場景、全規模企業的Agent安全落地方案，核心邏輯只有一個：先扎緊安全的籠子，再放開效率的手腳。

第一原則：最小權限+環境隔離

阿里云給出的Agent落地首要防護原則，是最小權限原則搭配獨立環境隔離。它是所有安全防護的基礎，也是經過一線實踐驗證的、有效且簡便的風險防控方案。

這個原則拆解開來其實很簡單：

• 權限層面，僅為Agent開放完成核心任務的必要權限，僅安裝業務必需的Skills插件，多余的權限一律關閉，沒用的插件一律不裝；
• 環境層面，為Agent部署獨立的沙箱運行環境，即便單節點被入侵，也只能在沙箱內運行，無法實現風險擴散，更影響不到企業的核心業務系統。

目前古茗計劃采用阿里云Landing Zone解決方案，為 OpenClaw 部署獨立隔離的運行環境，該方案可實現環境隔離與權限精細化管控。

阿里云開放平臺負責人何登成介紹，AI場景適配后的Landing Zone方案，不僅實現業務與創新環境的安全隔離，還能實現創新業務成本獨立核算，兼顧安全、效率與成本管控。

劉星光也直言，獨立隔離的運行環境，是企業安全落地Agent的核心基礎，即便單只龍蝦出現安全風險，也能將影響控制在沙箱之內。

企業級的解法：以Agent為中心體系化解決方案

有了安全防護的基礎，針對企業規模化部署Agent后的管理與防護痛點，阿里云還推出了企業級Agent安全中心，構建了事前、事中、事后的全閉環防護體系。

祝建躍詳細介紹了該產品的四大核心能力：

• 其一，針對企業“不知道風險在哪”的核心痛點，提供風險大盤可視化能力，可自動盤點企業全量Agent節點，將全公司Agent資產、風險狀態統一呈現、批量巡檢，解決企業“不知道自己養了多少只龍蝦”的管理盲區；
• 其二，針對Skills供應鏈風險，提供 Skills 前置攔截與掃描能力，為惡意插件增設防火墻，在安裝前完成靜態與動態雙重風險檢測，從源頭堵上供應鏈漏洞；
• 其三，針對權限失控與操作不可視問題，提供全鏈路行為審計能力，完整記錄Agent的全量操作、工具調用、地址訪問行為，實現風險實時告警、事故可追溯、可定責；
• 其四，配套AI安全護欄、Agent ID Guard身份管控與RAM身份體系，實現模型輸入輸出的風險攔截、企業員工與Agent權限的統一精細化管控，形成全流程防護閉環。

李亞博對這套體系給出了比較務實的評價：

Agent安全中心從三個維度解決了企業的核心困擾。一是通過風險大盤讓企業清晰掌握風險全貌，解決了“知道有風險、卻不知道風險在哪”的核心痛點；二是為惡意Skills提供了前置攔截能力，筑牢了供應鏈安全防線；三是全鏈路審計能力讓安全事故可追溯、可定責，完善了事后處置體系。

中小企業低成本解法：用云原生的默認安全

除了規模化部署之外，對于中小企業與個人用戶的輕量化部署需求，阿里云基于云原生能力提供了低門檻、低成本的默認安全方案。

鄭雅敏介紹，阿里云無影、輕量服務器都提供了OpenClaw一鍵部署鏡像，默認關閉公網端口暴露，公網映射采用隨機端口，規避了默認端口被黑產掃描攻擊的風險；同時系統會自動開展公網暴露端口巡檢，一旦發現用戶將18789等高危端口開放至公網，會第一時間提醒用戶整改。

這套安全方案的優勢在于，底層基礎設施安全已經由阿里云全面兜底，所以用戶就不需要再操心服務器、網絡層面的基礎安全問題，只需要聚焦Agent的使用行為與權限管控即可。

由此，大幅降低了Agent安全部署的技術門檻與成本投入。

本次專場嘉賓形成了統一共識：

未來Agent將成為企業操作云資源的核心主體，阿里云的核心目標，是讓OpenClaw、各類Skills與全品類Agent，在阿里云上既能實現全業務流程的高效跑通，又能從底層杜絕安全、成本、穩定性的全維度風險，讓全行業都能放心落地Agent技術。

何登成表示，阿里云的核心方向，是打造一朵“Agent 友好”的云，讓Agent在操作阿里云資源時，能夠從底層保障安全性，解決了企業落地過程中的成本、穩定性與安全風險顧慮。

Agent 時代，安全不只是加分項，而是入場券

回顧科技演進的脈絡，每一次生產力工具的躍升，都會不可避免地帶來舊有安全邊界的重構。

古茗、銀泰百貨等實體企業的OpenClaw落地實踐，標志著Agent平民化時代的全面到來。Agent 技術已經從程序員圈層的技術嘗鮮，滲透到了零售、餐飲、百貨等多個實體行業，從技術團隊的專用工具，變成了普通員工都能上手的提效利器，正在成為未來企業數字化的基礎配置。

在這樣的行業趨勢下，Agent時代的安全，已不再是企業數字化的加分項，而是企業擁抱技術創新、實現規模化落地的必備入場券。企業對Agent技術的應用，不能陷入“重效率、輕安全”的誤區，一線實踐中的諸多案例已經證明，脫離安全管控的 Agent 應用，不僅無法實現持續效率提升，還可能給企業帶來業務中斷、數據泄露、成本失控等風險。

Agent技術的浪潮勢不可擋，其對企業生產經營模式、組織架構的重構，將成為數字時代最核心的變革之一。而 Agent時代的紅利，永遠屬于那些既能擁抱創新，又能守住安全底線的企業。只有構建起全維度、全閉環的Agent安全防護體系，企業才能真正駕馭Agent技術的能力，在效率革命中實現安全、穩定、可持續的增長。