2026-03-27 14:05:04 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文档围绕OpenClawAI工具的安全管控展开讨论，指出其存在数据泄露、行为不可控、权限边界模糊等风险。企业采取终端禁用、内网隔离、统一部署、白名单制等措施，通过统一认证、大模型网关、内部Skills管理中心等方式进行管控。同时讨论渗透测试报备合规要求，强调关键基础设施单位需提前向公安机关报备，建议企业根据网络等级建立报备机制。 综合评分： 85 文章分类： AI安全,安全建设,安全运营,政策法规,数据安全

cover_image

OpenClaw的风险隔离与管控应对，以及渗透测试的报备合规探讨｜总第312周

原创

群秘群秘

君哥的体历

2026年3月25日 08:01 北京

0x1本周话题

话题一：近期openclaw挺火，各个公司甚至鼓励员工使用，大家对这个的态度是怎样的？因openclaw导致的安全问题如何保障呢？

A1:我们正在拟风险提示和安全要求。办公电脑或存有公司业务数据的电脑不允许安装。这个数据泄露风险太大了。

A2:做一个服务器，大家在上面操作，不能本地电脑用。

A3:还在调研中，从技术策略和安全管理要求两方面入手吧。

A4:这个你给他在对应服务器中操作，但是你要给他数据呀。有点像，都是授权。

A5:隔离的话你也可以上传数据撒，需要联网的吧。

A6:内部自己搭建ai算力中心可以发管理制度禁止使用外部api我觉得可以做一些限制。如果你所有东西都是内网，还能试试，但也不能保证准确性。你只是搞了一个没法考核，没有质量保证的所谓助手。

A7:终端禁用配合终端检查措施，内网收束避免员工自己终端部署了接入内网配合检查措施。公司层面统一部署，云资源人手一个独立隔离的openclaw。

内部服务改造全部接入统一认证，由企业统一逐步开放接入到openclaw。底层大模型由统一网关控制，所有openclaw由企业统一限定接入的大模型。

关闭所有openclaw的官方skills源，建立企业内部skills管理中心，只允许内部使用经过信息安全审核的skills。要做的事情很多，我列的这些都只是基础，还有很多场景化的动心得边学边控了。

A8:但是公司搭建统一环境，也需要联网还是说用内网自建模型？如果联网的话对应数据也会出去吧。

A9:细分下，可发现、可审计、可管控，方案不一样：

页面访问（含客户端）
api访问（IDE类）
网关类访问（claw类）

A10:根据场景选择，接入的底层大模型，有大模型网关兜底。

A11:大模型网关？是买的那个安全网关么还是？

A12:公司内部统一接入大模型的配置网关，不允许其它途径接入大模型。

A13:配置网关是怎么来的？

A14:自研，激进做法，业务同学已经等不及要对C端了，头都大了。

《一句话，让你的OpenClaw变身“全栈AI投顾”｜且慢MCP🦞接入指南》

A15:你们Apikey直接填url?

A16:没影响，这APIKEY我们自己配置的，只是用来确认你能不能访问我们的服务。不做任何的身份绑定和鉴别。当然各位大佬要是能够给它拍个砖，打击一下业务欢迎利用这个APIkey搞事情。

话题二：openclaw越来越火了，上午收到了腾讯企业微信支持openclaw的通知，但是安全问题不容小觑，工信部已经发风险提示。大家有没有一刀切的啊？

A1:我们暂时没有一刀切，但已经面向单位内部先做了风险提示。

A2:风险提示还是很有必要的。有没有通过防火墙把域名封禁的呢？这种新技术直接应用在办公环境，对风险偏好比较低的企业而言是不是可以直接禁掉。

A3:我们上网行为有白名单限制。

A4:那什么情况下才允许个人使用呢？

A5:说清楚工作用途。AC的话，如果笔记本连接外部网络，还是会绕过的。但是桌管的确识别不了，除非把常用的大模型连接也禁掉。

A6:内外网隔离的话，内网办公机也装不了龙虾。

A7:这是封禁哪个域名？

A8:内网养虾（私有算力），用微信接入，这种模式太危险了，有人准备这样干吗？

A9:龙虾也不是非要im接入的，命令行也可以，web交互也可以。内网私有算力就无所谓。

A10:token消耗量特别大。

A11:不会在线装，可以安装了弄进来，在使用的时候是不需要访问这些域名的吧？

A12:不需要，这东西本质就是连接llm agent反复跑一个循环，至于接入通道是命令行还是社交媒体，不重要，如果这东西需要临时下载安装软件，内网会失败，除非内网模型告诉他去内网某处下载。

这种东西，大家自己花自己的钱乐就可以了，单位出钱还增加不安全因素，这就是人傻钱多，我自己已经卸载，还是opencode这些靠谱。

A13:官方通告也只是提示已有的漏洞风险，我很难基于这个去做一刀切，而且现在感觉也很难拦住了。

现在到处是业务在要求部署openclaw，还有各种变体，比如网易的lobsterai之类的，现在着急的就是安全和合规，给不出管控方案。

A14:我们控住的，不能随便安装，白名单制，要玩自己家里养。发展太快，skill投毒等等很难防，执行权限又太大。

A15:这么多年数据安全管控的魄力呢? 把agent当做一个人，谁用这个agent做出了傻逼的事情就罚谁。估计两只龙虾就够吃一年了。

A16:如果只是个人用倒简单了，已经是有组织的在推进使用了，遍地开花。估计又要事件驱动了，目前的形势，安全是拦不住的。

业务侧接入肯定会出事，只能等出事了，来点社会大新闻。老板们天天在管理群里面转发各种AI趋势和文章和短视频贩卖焦虑然后我在群里面也是天天转发各种AI导致的安全事件。

A17:看媒体报道风向，还是在谈利。零零散散的有一些风险提示。老板也一样的，有什么业务问老板能不能用小龙虾接入，老板说你找安全备案，他们也知道风险，也在甩锅。

好似一波波的改革浪潮，就安全在这老生常谈格格不入。去年大模型出来，行业也轰动了一把，后来大模型服务器的价格把老板们吓退了。英国的红旗法案，限制汽车和火车的速度。

A18:这个球踢过来，怎么接？

A19:我们现在是限制办公终端不允许接这类工具，还有公司的内网和生产网络等不允许部署，只允许研究学习使用，要单独找运维申请完全隔离的环境部署。

然后发了一个安全的使用规范，类似工信部发的那种，提示风险和责任自担，业务侧现在让他们找研发团队那边排期，内部在开发自己的openclaw。

Q：有什么途径限制？终端管控？还是网络安全？

A20:你们有AI团队吗？可以让AI团队出方案，安全负责收口。

A21:终端。其实主要是skill插件的安全性，以及大模型的数据安全隐患，可以从这两方面下手。

A22:小龙虾这种，在处理任务的时候，会不断通过网上搜索解决方案，然后本地安装工具脚本或改变系统变量环境啥的。这种不只是skills和数据安全。

A23:所谓的自学习自进化，从安全来说，就完全是隐患，因为行为不可控不可预测：

一是可能被恶意构造的指令诱导执行非授权操作；
二是信任边界模糊，缺乏有效权限控制与审计机制；
三是可能越权访问企业敏感数据并外传；
四是可能被恶意接管，成为攻击内网的跳板。

A24:老板估计不会同意，不能撇清安全的职责。摊开来说清楚安全责任，权利。问题又回到，有没有安全的用法，安全能不能保障好。

A25:没有，给他看meta删邮件那个事情，管理预期。老板看着钱，给一个沙箱，只能访问im llm，顶多这种。

A26:个人观点，这些在open claw广阔的前景面前，并非不能接受的风险。老板可能希望的是安全来控制风险，而不是一了百了的拒绝。

A27:问一句，老板怎么看待合规要求。可以先公网上那种，有一个练习环境，出去处理的文件，需要部门领导签字审批，有些工作秘密不应该上互联网。这样企业内网至少安全，你卡住数据安全，就可以，这东西效果没有那么惊艳的，网上炒作成分居多。

A28:没有权限和数据，这个没什么大效果。

A29:我已经卸载了龙虾，发现opencode这些做事情才稳，才是像样的干活工具。沙箱区，否则企业数据被人扒光光老板也赚不了钱。体制内，汇报清楚利弊，决策留痕，体制外不晓得。

A30:看公司类型，体制内肯定是不背锅为主，体制外是发展为主。体制外的公司拦着大家奔赴ai，就是跟老板对着干的。

A31:其实都可以，支持skill，可以做很多事情，能力应该是OK的。

A32:我们就是这样，开发挡不住，开发不能拿生产代码出去。

A33:生产你敢不清楚代码运行逻辑就上？

A34:而且代码一次对了不等于真的稳了，玩了几天开发，没有写代码做了想做的，但还是需要指导，我们可以想到的坑，一问就发现真的ai没有想到。

还是有门槛的，业务人员习惯了含含糊糊的需求表述，那么结果必然也是薛定谔的成功。适合用过就丢的代码，个例可以跑出来就可以。

大模型最危险的地方，从来就不在高手身上，而在那些没有能力验证结果的人身上。如果你本来就懂，你会拿它当加速器。你知道什么叫对，知道关键路径在哪里，知道哪些地方必须自己把关。它能帮你搭框架、补样板、快速试验，确实很有价值。上面是从代码逻辑正确与否等等角度说的。

我只是想说，业务部门用这个，没有想象中那么简单。幻觉等等的问题，等着他们掉坑吧，这次IT不背了。

话题三：运营者授权了，还需要报备吗？自己委托的也要向公告报告吗？大家平常自己找厂商做也要去报备吗？

“ 第二十五条：未经省级以上网信部门、公安机关批准或者行业主管部门、运营者授权，任何个人、组织不得对网络安全等级保护第三级（含）以上的网络开展网络安全漏洞探测、渗透性测试等可能影响网络安全的活动。未经设区的市级以上网信部门、公安机关批准或者行业主管部门、运营者授权，任何个人、组织不得对网络安全等级保护第二级（含）以下的网络开展网络安全漏洞探测、渗透性测试等可能影响网络安全的活动。依法或者经批准、授权开展的，应当在活动实施五个工作日前向县级以上公安机关报告。法律、行政法规另有规定的，从其规定。”

A1:可以写个长时间，几号到几号。

A2:他说的是在开始前的5个工作日。

A3:如果网警监控到有啥攻击你，然后就会发信息给你了。每个月都要搞漏洞扫描。你不报备，那就是消耗GA的力量，每个月都要做渗透测试。

A4:咱们内部搞漏洞扫描、渗透测试还向公安机关报告？

A5:和当地公安沟通吧，你们现实有报备吗？网警能力这么强？

A6:有，可能是因为我们是关基单位。

A7:应该都要报的，就和飞无人机一样，实际不申请也能飞，但是抓到就可以处罚。

A8:没错，就是有没有一些豁免条款。不然一年下来，几十次的报备。是不是应该过滤掉一些呢。

A9:你报的多，当地GA就会告诉你哪些要报，哪些不报的了。比如无人机，在家里一定高度，随便飞。好吧。报都没报过，怎么和监管沟通呢？

A10:现在没正式要求啊，还在发文征求意见。

A11:之前一直要报的，人家又不是新规定，只是重申一次而已。

A12:你是关基单位，可能要求严有点。以前是乙方向公安报备的，我们不是关基没有这个要求。

A13:还有这个“溯源链条”怎么实施？

“ 第四十三条：规定网络运营者、数据处理者应当履行网络和数据安全保护义务，建立健全网络和数据安全管理制度，采取技术措施及其他必要措施。重要数据处理者还应建立数据标签标识等技术措施，以监测和识别重要数据的传递溯源链条”

A14:以前我们收文去问过当时说是我们自己组织大规模的攻防演练才报，不知道现在有没有新要求。这是DLP吗？

A15:不仅仅是吧，有很多通过API出去的呀。有的厂商说有一种应用DLP，就是针对API。

A16:文件类的可以做暗水印，API的不知道要怎么弄。做渗透都要报的，之前没报被监管警告了。

A17:之前说是比如通过这个API下载数据的时候要过DLP检测一轮，详细的没有测过不知道效率如何，之前他们是根据我们OA给的建议。金融监管局吗？他们怎么发现的，监管评级的时候看到有报告没有提前报备？

A18:从提交给他们的渗透测试报告反推的，让我们提供对应的报公安的材料，拿不出来。之前问过他们说不确认要不要报，后来换了领导。

0x2 群友分享

【安全管理】

《数据安全任务要多久见效？银行保险机构建设周期详解》

《指南发布 | 智能体应用程序安全指南：AI智能体—威胁与缓解措施》

《深入浅出银狐系列之一》

《深度揭秘：OpenClaw Skill市场的火爆、风险与防御》

【安全资讯】

《OpenClaw没发明任何新技术，但它为什么火了？》

【网警提醒】公共场所提供WIFI上网服务须知

《嘿，那个天天被说‘卷’的字节，这次真的干了件大事！》

《当理发师都在教性能优化大神用 AI：Brendan Gregg 离开 Intel 去 OpenAI 背后的真实故事》

《如何评价？｜全网超100万阅读的互联网已死，Agent永生短文》

《英文区浏览量超千万的 2028 年全球智能危机预言爆文｜不过这场末日叙事真的准吗？》

《别再说“AI吞噬软件开发”了，这只是第 N 次“抽象层大迁移”》

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。****

往期群周报：

从终端沙箱到AI Agent：安全隔离的演进与安全角色的重塑｜总第311周

大模型业务隔离与公共WiFi安全合规挑战｜总第310周

AI管控的两难困境，与业务隔离下极小带宽防DDOS的现实挑战｜总第309周

如何进群？

如何下载群周报完整版？

请见下图：

‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君哥的体历群秘群秘《OpenClaw的风险隔离与管控应对，以及渗透测试的报备合规探讨｜总第312周》