导语

　　以Open Claw为代表的智能体崛起，赋予了AI极高的自主裁量权，打破了传统网络安全的静态边界，效率的提高同时意味着风险的增加。远光软件（002063）陈利浩认为：丧失效率的“安全”是最大的不安全。他强调：不能因噎废食，应该通过“认知与执行”解耦、建立零信任架构、重塑人机协同及“以模治模”等策略，推动安全范式从“边界防御”向“持续动态治理”转型，使得效率与安全共生，驾驭重塑世界的力量。《财新网》3月10日发布。

　　“龙虾热”背后：智能体时代的防御与共生

　　专栏作家：陈利浩九三学社中央资环委副主任，广东省政府参事室特约研究员

　　2026年的春天将以一场由“龙虾”引发的技术狂潮而载入史册。这款名为Open Claw的开源人工智能(AI)智能体，以其独特的红色龙虾钳图标被大众熟知，在极短时间内成为街头巷尾热议的现象级生产力工具。

　　在此之前，大众对人工智能的认知大多停留在“聊天问答”的阶段——人类提出问题，大模型给出文本答案。然而，“龙虾”类智能体的出现，标志着一种根本性的技术跨越：它不再仅仅是“动嘴”的数字顾问，而是真正开始“动手”的数字代理人。用户只需用自然语言下达一个指令，智能体便能自主规划任务路径，代为回复邮件、查阅全网资料、跨软件填报数据，甚至直接在企业的内部系统中编写代码并运行测试。这种将认知决策(思考该怎么做)与底层物理执行能力(实际去操作系统)高度融合的技术形态，彻底颠覆了经典的人机交互模型，也让传统的企业信息安全防线面临着前所未有的严峻考验。

　　以往的网络安全体系基于一个基本假设：软件的行为是遵循既定逻辑、高度可预测的。安全专家可以通过定义输入参数、控制执行路径、监控输出结果，并在此基础上部署防火墙和访问控制列表，以此构建起企业内网的“护城河”。但是，智能体完全打破了这种可预测性。智能体会根据实时遇到的情况自行“推理”，自己决定下一步该调用哪个应用程序接口(API)，或者去哪个外部数据源抓取信息。在一个常规的业务流程中，智能体可能会在几秒钟内连接客户关系管理系统、启动一个代码执行沙盒，并同步访问公网数据。当我们将所有的工作内容全权交给智能体处理时，实质上是赋予了一段不可见的软件代码以极高的自主裁量权。

　　这种风险也已经引发了现实的震荡。以“龙虾”智能体为例，在其爆火的初期，网络安全机构就发现了数以万计由于默认配置不当而将管理端口直接暴露在公网的实例。由于早期架构简单地将本地主机的连接视为“绝对信任”，攻击者仅需诱导用户访问一个恶意网页，隐藏在网页背后的脚本就能静默接管智能体，进而窃取用户的授权凭证、浏览器密码甚至是加密资产。此外，智能体对外部信息天然的“轻信”特性，也催生了被称为“间接指令劫持”的新型攻击手法。攻击者可以在公开网页的角落用肉眼不可见的白色字体写下恶意指令，当智能体为了完成用户任务而去阅读该网页时，便会悄无声息地被这些隐藏指令误导，做出违背用户初衷甚至损害企业利益的操作。不仅如此，在多智能体协同工作的架构下，一个边缘智能体的权限失控或逻辑崩溃，也会通过内部的协作网络产生级联效应，最终波及整个系统。

　　面对这种前所未有且看似不可控的风险，某些管理者、应用者的第一反应是退缩。为了“信息安全”，部分机构开始考虑在内网彻底封杀此类智能体工具，拒绝将核心工作内容交由AI处理。然而，在如今的技术演进、全球博弈格局下，这种做法真的可行吗？答案显然是否定的。今年的全国两会上，“人工智能”与“算力”被明确上升为驱动新质生产力、构建现代化产业体系的核心动力，政策导向已从早期的“技术竞赛”全面转向重点行业的“商业化规模化应用”。在这个“效率即生命”的时代，如果竞争对手已经利用智能体在几分钟内完成了跨部门的数据统筹、市场洞察与自动化生产调度，而你的企业还在依靠庞大的人力团队进行手工复核与跨系统搬运，那么高昂的运营成本与迟缓的响应速度将成为致命伤。在全球多极化竞争愈演愈烈的背景下，试图通过退回“手工作坊”时代来规避风险、维持安全，更无异于主动放弃国际竞争力。落后于时代的低效，本身就是一种极大的系统性风险。因噎废食，固守没有效率的“安全”，才是最大的不安全。

　　既然为了效率、为了生存必须将工作内容交由AI处理，同时又要保障信息安全，必须重构信任机制，将安全理念从“边界防御”升级为“持续动态治理”。

　　首先，要在架构设计上实现“认知决策”与“物理执行”的严格解耦与隔离。智能体的“大脑”可以拥有高度的自主权去进行逻辑推理、数据分析并生成复杂的行动计划，但它的“手”必须受到严格的约束。所有由AI生成的执行指令，绝不能直接触达核心数据库、底层物理系统，而是必须流经一个边界清晰、安全验证过的受控通道。通过部署专门的执行代理，可以在指令真正落地前对其进行阻断式检验，确保智能体的每一个动作都被限制在预先定义的安全沙盒之内，切断其造成实质性破坏的路径。

　　同时，必须建立面向非人类身份的“零信任”安全架构。在智能体时代，传统的“内部网络即安全”的假设已不复存在。无论是人类员工还是AI智能体，系统都应当遵循“预设怀疑，始终验证”的核心原则。智能体对于各种工具和接口的调用，必须有动态分配的、最低限度的必要权限，不得将高级别权限长期授予单一智能体。每一次跨系统的工具调用、每一笔涉及敏感数据的访问，都必须伴随着实时的意图验证与行为审计。只有当系统确认当前的调用行为与最初分配的任务目标严格一致时，操作才被允许放行。

　　“人机协同”必须重塑。将工作全权交由AI，并不意味着人类可以完全做甩手掌柜，而是人类角色的升维——从“一线操作者、执行者”转变为“规则制定者与终极裁判”。对于低风险的日常自动化任务，智能体拥有完全的处理权；但对于例如资金调拨、关键业务审批或带有法律后果的高风险动作，系统必须强制触发“人类在环”(Human-in-the-loop)的审查机制。未来的AI工具将标配“决策解释界面”，系统不仅会向人类提交拟执行的动作，还会清晰地展示AI做出该决定的逻辑链路、引用数据源以及潜在风险评估。人类员工无需再深挖海量数据（603138），只需在关键节点上核验AI决策是否契合业务价值观、合规目标与安全底线，从而把握最终的控制权。

　　“以模治模”(用AI治理AI)，让对抗性安全策略成为标配。面对智能体极高的运行速度与复杂的黑盒逻辑，传统的静态安全工具往往反应迟缓，事后追责也于事无补。企业需要部署独立的防御型智能体，在后台全天候、无死角地审计业务智能体的运行轨迹与资源消耗。一旦发现业务智能体表现出异常的越权试探、遭受了恶意提示词的污染，或是运行轨迹偏离了预设的安全护栏，防御型智能体能够立即自动切断其网络连接并回收权限。这种实时、动态的自动化审计系统，是填补机器攻击与人类反应之间时间差的有效手段。

　　高度警惕“数据污染”，随着智能体对各类知识库和全网数据的依赖度日益加深，“AI投毒”已经从理论变为现实的战略威胁。攻击者不再需要直接攻破企业的防火墙，只需在智能体常常抓取的大型开源社区或公共数据源中，植入精心伪装的错误逻辑或带有偏见的恶意数据。由于AI模型的训练与数据更新存在滞后性，且嵌入在深层神经网络中的偏见极难被传统手段审计，这种隐蔽的信息污染可能会在潜移默化中扭曲企业智能体的认知基准与决策方向。因此，建立高质量、可溯源的数据资产管理体系，并在数据喂食环节引入严格的血缘追踪与清洗机制，其重要性已经与防范黑客入侵等量齐观。

　　智能体技术的广泛应用，正在孕育一种基于数据和算法的新型治理机制。以往的大数据主要是一种提高预测准确率的工具，而在智能体时代，沉淀在系统中的海量数据代表了组织运行的最大公约数。当智能体吸收了历史上巨量的决策路径、制度条文、操作案例后，它本身就化身为一个无一遗漏、不知疲倦、不受情绪与利益左右的“标准执行者”。在这种机制下，人类管理者与智能体之间形成了一种奇妙的制衡：人类依靠智能体的超强算力打破管理盲区、实现组织的敏捷运转；而智能体则利用客观的数据模型，对全员(包括管理者自身)的行为形成无处不在的规范与约束。那些试图利用信息不对称谋取私利的操作，在智能体全维度的审计与追踪下将无所遁形。在这个意义上，接受智能体，不仅是接受一种新工具，更是接受一种更为透明、理性的现代治理逻辑。

　　人类进步的历史，本来就是一部不断与未知风险博弈、并在边缘处重塑安全边界的历史。智能体的崛起，撕碎了过去建立在静态网络与人力干预之上的虚假安全感，将我们推入了一个高度动态、危机四伏但也充满无限可能的新纪元。恐惧并不能阻挡时代的步伐，拒用的结果只能是在残酷的效率竞争中的衰败和消亡。只有清醒认识智能体带来的安全范式转移，通过架构解耦、零信任机制、以模治模以及重塑人机协同，才能在保障底层逻辑可控的前提下全权交付，在动态博弈中寻求技术共生。效率狂飙有了坚固的安全绳，人类一定能驾驭这股重塑世界的力量。