中国信通院与腾讯云联合发布“云上养虾安全七条”

随着OpenClaw等AI智能体的爆发式普及，从个人开发者到企业级应用，“养虾”正成为云上智能化转型的热潮。然而，发展极快的开源形态及快速全面的部署落地也带来了前所未有的安全挑战。

为助力OpenClaw技术在安全前提下实现云上产业化落地，中国信息通信研究院（以下简称“信通院”）与腾讯云共同提出“云上养虾安全七条”，为产业界提供了一套安全基线。此前，针对于龙虾安全，腾讯云推出“龙虾安全工具箱”，助力用户安心“养虾”。

“养虾”风险显化，结构性安全与生态挑战并存

随着“养虾”热潮兴起，安全风险日益凸显。今年2月，工业和信息化部网络安全威胁和漏洞信息共享平台（NVDB）就为OpenClaw实例的配置不当和使用风险发布专项预警。

当前，OpenClaw面临的核心风险集中在提示词注入攻击、权限与隔离机制短板、供应链生态隐患、审计追溯能力缺失四大方面。为响应监管要求，推动技术安全落地，信通院与腾讯云联合提出“云上养虾安全七条”，形成覆盖配置、运行、生态、应急全链路的云上AI智能体安全基线：

版本合规化：从官方渠道获取并保持最新稳定版本，避免使用未经安全审核的第三方镜像或老旧版本。

网络收敛化：避免公网直接暴露，通过内网隔离、VPN/零信任通道访问，防止横向移动与外部攻击。

权限最小化：使用专用低权限账户运行，部署于沙箱/容器/虚拟机环境，高危操作需二次确认或人工审批。

数据隐私化：加密存储敏感信息，定期备份，严格管控数据访问，并对重要数据采取防泄露保护。

技能规范化：优先选择官方认证或经过安全审查的技能包，审慎下载外部公开包，避免引入恶意逻辑或高风险插件。

接入防控化：部署提示词注入防护、内容安全防护等安全产品，实施终端安全管控、入口访问管控，防止钓鱼与恶意输入。

审计闭环化：上传云端日志确保日志可集中管理与查询，建立异常应急处置流程，形成漏洞修复与风险预警的长效机制。

这“七条”不仅是技术规范，更旨在为蓬勃发展的云上智能体生态提供可落地的安全指引，推动产业在安全前提下实现高质量发展。

腾讯龙虾安全工具箱：分层防护，助力“养虾”无忧

为应对“龙虾”类应用带来的安全挑战，腾讯推出“龙虾安全工具箱”，针对云端部署、办公网环境、个人电脑三大部署场景，提供覆盖全生命周期的一站式安全防护。与此同时，腾讯还将部分核心能力封装成AI Skills，用户只需通过自然语言对话，就能让小龙虾实现自我防护，将安全能力更便捷地融入“养虾”流程中。

针对云端部署的开发者与企业，腾讯云Lighthouse（轻量应用服务器）、腾讯云ClawPro（OpenClaw企业版）及AI Agent安全中心、AI Agent安全网关，构筑从基础设施到Agent管理的整体防御方案，确保企业“看得见、可追溯、管得住、审得清”。

针对办公网环境部署的企业，腾讯iOA全新防护方案打造六大自动化联动防线，围绕“龙虾”「安装渗透→进程执行→横向访问→数据窃取→外传出逃」实现全链路安全闭环。

针对广大个人用户，腾讯电脑管家18.0升级「龙虾管家-AI安全沙箱」功能，一键隔离，将高权限操作纳入安全可控的边界。

开放安全Skills，EdgeOne ClawScan一句话即可完成全面安全体检并输出安全报告；HaS Anonymizer完全本地运行，可智能识别并替换敏感信息，实现数据“可用不可见”。

推动技术走向产业化，离不开最底层的安全保障。未来，腾讯将持续推进产品功能迭代升级，深化与产业伙伴的合作，共同推动云上AI生态的可信与繁荣。