奶茶界刮起OpenClaw新风潮

随着OpenClaw等AI工具在不同行业的广泛应用，企业和个人开始面临前所未有的安全挑战。这些新兴技术带来高效的同时，也伴随着潜在的风险。

OpenClaw的引入让实体企业如零售、餐饮和百货业能够直接提升工作效率，而不必依赖专门的技术人员。然而，在实际操作过程中，企业发现了一系列的安全隐患。

在OpenClaw的应用实践中，古茗与银泰百货等公司遇到了包括权限管理不当、恶意Skills插件以及数据泄露在内的安全问题。

为应对这些挑战，阿里云提供了全面的解决方案，强调在保障效率的同时，确保系统的安全性。首要原则是实施最小化访问控制和环境隔离措施。

在权限层面，企业应当仅开放完成核心任务所需的最低限度权限，并安装业务所需Skills插件以外不额外授予任何权限或安装无关组件。

为保证OpenClaw在独立沙箱环境中运行，阿里云建议采用Landing Zone解决方案，以实现环境与资源的安全隔离。这样即使单一节点受到攻击，也不会波及整个系统。

针对企业的实际需求，阿里云还推出了专门的Agent安全中心，通过风险大盘、Skills前置扫描、全链路行为审计等机制提供全面防护。

此外，针对中小型企业或个人用户，阿里云无影和轻量服务器提供了默认的安全策略。这包括自动巡检以及随机分配公网端口等功能，大大降低了部署的复杂性和成本负担。

通过综合运用上述方案，企业可以实现Agent技术在业务流程中的高效运行同时避免了各种潜在安全风险。

嘉宾们一致认为，在未来的发展趋势中，确保云上Agent的安全性至关重要。这不仅是阿里云的核心目标，也是所有希望利用这项技术的企业必须重视的方向。

通过构建友好型的云端环境，阿里云致力于为各种类型的Agent提供既高效又安全的服务平台。这意味着在操作资源时能够从底层保障安全性，从而解决了企业对成本、稳定性和风险的担忧。

随着技术的发展，确保AI工具的安全性已经不再是可选项，而是决定能否顺利应用的关键因素之一。只有这样，才能充分利用这些创新成果推动业务持续增长而不受安全问题的影响。

他们分别是：

• 总结来说，在Agent技术广泛应用的时代背景下，构建一个覆盖所有环节、全方位的防护体系是企业成功的关键。这不仅能够保证企业的数据和资产不受威胁，还能促进整体效率的提升。
• 银泰商业集团安全负责人李亚博
• 阿里云智能集团安全产品线产品总监祝建跃
• 阿里云智能集团业务安全负责人郑雅敏
• 阿里云智能集团开放平台负责人何登成

企业为什么急着给Agent“递枪”？

在拆解安全风险之前，我们首先要厘清一个核心问题：像古茗、银泰百货这样看似与前沿AI技术距离较远的实体服务行业，为什么纷纷开始养龙虾？

答案藏在Agent技术带来的本质性变革里。

区别于传统生成式AI仅停留在对话交互与内容产出的层面，以OpenClaw为代表的Agent，实现了从对话交互到自主执行的核心跨越，这也是它能快速破圈的根本原因。

就像刘星光在直播里说的：

我觉得OpenClaw最吸引人的地方，是它是一个自动化的程序。像以前的传统AI，它可能更多的是生成内容、生成图片，它不可能去帮你执行相关任务。但OpenClaw完全不同，它只需要你定一个目标，它就可以真正帮你把东西执行下去。当一次执行不了，它还会尝试第二次，并把问题节点反馈给你。

这就是最核心的区别。之前的生成式AI，说到底还是个辅助工具，你得一步步引导它，它给你的最终只是内容和建议，落地执行还是要靠人；但Agent是个真能干活的执行者，你只要告诉它最终要达成的结果，它会自己拆解任务、调用工具、串联流程、完成执行，甚至能自主解决过程中遇到的问题。

这种变化，带来的是真正的技术平权。不用你懂代码，不用懂复杂的系统操作，只要会用自然语言清晰表达需求，就能让AI帮你完成跨系统、多步骤的复杂工作。

正如郑雅敏所洞察的那样：

以往人机交互的范式是通过界面或窗口，流程是靠人去串联的。而有了OpenClaw之后，人只需下达一句话，它就能自动拆解任务、智能执行并完成结果。Agent成为了人与数字世界的连接器，让人从繁琐的执行中解脱出来，更关注于高级的思考。

这种核心能力的变革，也让Agent技术的全行业渗透成为必然趋势。

从微观的企业组织层面来看，Agent正从单纯的提效工具加速蜕变为企业的数字员工，并深刻重构企业的组织与工作模式。李亚博引用了马斯克的一句话来形容当下的状态：

现在的Agent就像给猴子递枪，我们还在摸索。但在未来，Agent可能会变成我们的数字同事。我一个人可能带领着十个数字同事一起干活。

这就意味着，在未来，一个人可通过多Agent协同完成复杂的业务闭环，甚至催生出估值很高的“一人公司”模式。企业所管理的资产，将不再仅仅是物理资产和人类员工，更包含这一群庞大且高效的Agent资产。

从宏观的时代演进层面来看，Agent技术的普及，如同智能手机当年对功能机的降维打击。它将成为数字时代企业和个人的基础能力。刘星光做了一个较为贴切的类比：

十几二十年前手机只是用来拨号的，而现在全是智能手机。如果你现在说不会用智能手机、不会用上面的APP，必然会被时代淘汰。未来也是如此，如果企业不会用Agent，不会跟AI对话，那可能就会面临被时代抛弃的风险。

OpenClaw之于当下，如同移动互联网早期的iOS与安卓。当技术红利的风口全面敞开，任何企业都无法拒绝这种指数级的效率飞跃。

一线踩坑实录：Agent落地的5个致命暗坑

效率的另一面，是全新的风险。

当Agent从技术概念走进实体企业的真实业务场景，它的自主执行的核心特性，也带来了传统AI时代从未出现过的全维度安全风险。古茗与银泰百货的一线实践，完整呈现了企业落地Agent过程中需要直面的五大核心隐患。

端口暴露：一个默认配置，就能让内网全线失守

传统企业办公网有着严格的网络边界管控，但Agent的本地化部署，往往会在不知不觉中打破这一平衡。

古茗在部署过程中发现，OpenClaw运行服务时需要开启Gateway网关，默认端口为18789。安装时选择快速配置而非进阶配置，会直接开启该端口，且访问Token会明码显示在屏幕上，泄露风险极高。

刘星光在直播中还原了攻击者的视角：

假设站在红方的角度，我只需要在企业内网执行一条Nmap扫描插件的命令，扫描当前子网内有多少台机器开放了18789端口，就能迅速列出目标。随后通过漏洞定向打击，这台机器就会沦陷。更可怕的是，办公网通常是一个大的广播域，一旦单台终端中招，横向渗透的风险就会迅速扩散到整个网段。

更棘手的是，这种风险很容易引发内网的全面沦陷。企业办公网通常是一个大的广播域，最多只会把无线和有线网络分开，很少有公司会给每个团队划分单独的VLAN，管理成本太高。一旦单台终端中招，横向渗透的风险就会迅速扩散到整个网段，这也是企业网络安全中最难解决的问题。

Skills陷阱：8%的插件带恶意

Agent之所以强大，很大程度上依赖于其丰富的Skills生态。无论是连接数据库、调用搜索引擎还是执行特定脚本，都需要依赖第三方Skills。但这正是最大的隐患所在。

李亚博在调研中发现了一个的数据：

现在行业生态里有几万个 Skills，基础调查显示至少8% 的Skills存在主观恶意。

但现实情况是，绝大多数普通员工根本没有能力识别这些风险。安装时看到推荐插件，为了图省事直接全量勾选，觉得装得越多功能越强，却不知道这种行为，等同于直接为未知来源的第三方代码敞开了系统的最高权限大门。

这些Markdown文件里隐藏的恶意URL、恶意执行逻辑、Prompt注入后门，普通非技术员工根本无法识别，堪称“一键安装，即刻中招”。

这被阿里云安全团队定义为Agent时代的新型软件供应链攻击。

最棘手的地方在于，这些恶意代码是员工主动“请”进内网的，传统的边界防护体系对此几乎束手无策，成为了企业安全防护中极其致命的盲区。

权限失控：给AI一把钥匙，等于埋下定时炸弹

除了端口和Skills的隐患之外，权限，也是安全风险的一大隐患。

为了让Agent能做更多的活儿，使用者往往会赋予它很高的系统权限。但这种缺乏最小权限原则约束的做法，也很容易引发业务事故与隐私泄露。

银泰百货遭遇的堡垒机端口被关事故，就是非常典型的权限失控案例。

为了让Agent完成全系统的安全漏洞扫描，企业给它开放了端口管理的高级权限，最终却导致它仅凭技术判断，就关闭了堡垒机的核心端口，造成全司运维人员无法登录系统的严重事故。

古茗在实践中也发现了同样的问题，刘星光提到，OpenClaw甚至会申请麦克风等与业务完全无关的系统权限，程序在后台到底用这些权限做了什么、执行了哪些操作，用户完全不可视、不可控。更深层的隐患在于，部分员工为了简化操作，可能会赋予OpenClaw过高的系统权限，甚至把各类凭证、API密钥交由Agent管理，一旦权限失控，企业核心资产将面临风险。

祝建跃对此点出了问题的核心，他认为，Agent的自主推理与执行特性，决定了其下一步操作充满了不确定性。将系统核心凭证、API密钥等超级权限毫无保留地交由一个存在幻觉可能性的AI去管理，是企业Agent落地中最普遍的高危风险点。

成本与数据双失控：看不见的消耗，守不住的核心资产

成本与数据，同样也是Agent真正接入业务时的安全隐患。

古茗遭遇了真实的成本失控案例。刘星光在直播中分享，让 OpenClaw 执行互联网内容搜索任务时，Agent 持续调用 API Token，耗时二十多分钟仍未自动终止，只能手动停止任务：

它不可控的点在于，你不知道它要搜多少次，它可能搜1万次都说不准。不仅任务周期远超预期，还造成了严重的成本浪费，就算中途停止，之前消耗的Token也已经浪费了。

数据安全方面亦是如此。

企业为了让Agent完成业务任务，往往需要向其开放核心经营数据、订单数据、机密文件等敏感信息，却无法管控这些数据是否会被传输至大模型、通过插件泄露至公网，数据安全完全处于不可控状态。

体系性风险：传统安全防护体系不好用了

上述四大风险，最终指向了一个最核心的行业困境：面对Agent时代，企业沿用了十几年的传统安全防护体系，正面临严峻挑战，难以有效应对Agent时代的新型攻击模式。

祝建跃指出，企业传统的边界防护等安全体系，无法应对Prompt注入、AI供应链攻击、Agent自主高危操作等新型攻击模式。

郑雅敏补充道，Agent的出现扩大了企业网络攻击面，对传统边界防护体系带来颠覆性挑战，企业面临体系性防护失效风险。

从底层原则到全场景落地的安全养虾指南

一边是不可逆转的行业趋势，一边是步步惊心的安全风险，那么企业到底该如何安全养虾？

基于古茗、银泰百货等企业的一线落地实践，阿里云已经有了一套覆盖全场景、全规模企业的Agent安全落地方案，核心逻辑只有一个：先扎紧安全的笼子，再放开效率的手脚。

第一原则：最小权限+环境隔离

阿里云给出的Agent落地首要防护原则，是最小权限原则搭配独立环境隔离。它是所有安全防护的基础，也是经过一线实践验证的、有效且简便的风险防控方案。

这个原则拆解开来其实很简单：

• 权限层面，仅为Agent开放完成核心任务的必要权限，仅安装业务必需的Skills插件，多余的权限一律关闭，没用的插件一律不装；
• 环境层面，为Agent部署独立的沙箱运行环境，即便单节点被入侵，也只能在沙箱内运行，无法实现风险扩散，更影响不到企业的核心业务系统。

目前古茗计划采用阿里云Landing Zone解决方案，为 OpenClaw 部署独立隔离的运行环境，该方案可实现环境隔离与权限精细化管控。

阿里云开放平台负责人何登成介绍，AI场景适配后的Landing Zone方案，不仅实现业务与创新环境的安全隔离，还能实现创新业务成本独立核算，兼顾安全、效率与成本管控。

刘星光也直言，独立隔离的运行环境，是企业安全落地Agent的核心基础，即便单只龙虾出现安全风险，也能将影响控制在沙箱之内。

企业级的解法：以Agent为中心体系化解决方案

有了安全防护的基础，针对企业规模化部署Agent后的管理与防护痛点，阿里云还推出了企业级Agent安全中心，构建了事前、事中、事后的全闭环防护体系。

祝建跃详细介绍了该产品的四大核心能力：

• 其一，针对企业“不知道风险在哪”的核心痛点，提供风险大盘可视化能力，可自动盘点企业全量Agent节点，将全公司Agent资产、风险状态统一呈现、批量巡检，解决企业“不知道自己养了多少只龙虾”的管理盲区；
• 其二，针对Skills供应链风险，提供 Skills 前置拦截与扫描能力，为恶意插件增设防火墙，在安装前完成静态与动态双重风险检测，从源头堵上供应链漏洞；
• 其三，针对权限失控与操作不可视问题，提供全链路行为审计能力，完整记录Agent的全量操作、工具调用、地址访问行为，实现风险实时告警、事故可追溯、可定责；
• 其四，配套AI安全护栏、Agent ID Guard身份管控与RAM身份体系，实现模型输入输出的风险拦截、企业员工与Agent权限的统一精细化管控，形成全流程防护闭环。

李亚博对这套体系给出了比较务实的评价：

Agent安全中心从三个维度解决了企业的核心困扰。一是通过风险大盘让企业清晰掌握风险全貌，解决了“知道有风险、却不知道风险在哪”的核心痛点；二是为恶意Skills提供了前置拦截能力，筑牢了供应链安全防线；三是全链路审计能力让安全事故可追溯、可定责，完善了事后处置体系。

中小企业低成本解法：用云原生的默认安全

除了规模化部署之外，对于中小企业与个人用户的轻量化部署需求，阿里云基于云原生能力提供了低门槛、低成本的默认安全方案。

郑雅敏介绍，阿里云无影、轻量服务器都提供了OpenClaw一键部署镜像，默认关闭公网端口暴露，公网映射采用随机端口，规避了默认端口被黑产扫描攻击的风险；同时系统会自动开展公网暴露端口巡检，一旦发现用户将18789等高危端口开放至公网，会第一时间提醒用户整改。

这套安全方案的优势在于，底层基础设施安全已经由阿里云全面兜底，所以用户就不需要再操心服务器、网络层面的基础安全问题，只需要聚焦Agent的使用行为与权限管控即可。

由此，大幅降低了Agent安全部署的技术门槛与成本投入。

本次专场嘉宾形成了统一共识：

未来Agent将成为企业操作云资源的核心主体，阿里云的核心目标，是让OpenClaw、各类Skills与全品类Agent，在阿里云上既能实现全业务流程的高效跑通，又能从底层杜绝安全、成本、稳定性的全维度风险，让全行业都能放心落地Agent技术。

何登成表示，阿里云的核心方向，是打造一朵“Agent 友好”的云，让Agent在操作阿里云资源时，能够从底层保障安全性，解决了企业落地过程中的成本、稳定性与安全风险顾虑。

Agent 时代，安全不只是加分项，而是入场券

回顾科技演进的脉络，每一次生产力工具的跃升，都会不可避免地带来旧有安全边界的重构。

古茗、银泰百货等实体企业的OpenClaw落地实践，标志着Agent平民化时代的全面到来。Agent 技术已经从程序员圈层的技术尝鲜，渗透到了零售、餐饮、百货等多个实体行业，从技术团队的专用工具，变成了普通员工都能上手的提效利器，正在成为未来企业数字化的基础配置。

在这样的行业趋势下，Agent时代的安全，已不再是企业数字化的加分项，而是企业拥抱技术创新、实现规模化落地的必备入场券。企业对Agent技术的应用，不能陷入“重效率、轻安全”的误区，一线实践中的诸多案例已经证明，脱离安全管控的 Agent 应用，不仅无法实现持续效率提升，还可能给企业带来业务中断、数据泄露、成本失控等风险。

Agent技术的浪潮势不可挡，其对企业生产经营模式、组织架构的重构，将成为数字时代最核心的变革之一。而 Agent时代的红利，永远属于那些既能拥抱创新，又能守住安全底线的企业。只有构建起全维度、全闭环的Agent安全防护体系，企业才能真正驾驭Agent技术的能力，在效率革命中实现安全、稳定、可持续的增长。