超14万个AI智能体已经在公网上，我们需要一套系统性的安全思路

一、从一个数字说起

截至2026年4月15日，我国互联网暴露OpenClaw实例超14万个。

数据来源：中国信通院

OpenClaw是2025年11月发布的全球标杆级智能体开源项目，半年时间，中国成为全球部署数量最多的国家。这个速度本身是好事——它意味着智能体从演示走向了生产。云服务商推出"一键部署"，国产云上智能体集中亮相，行业发展势头强劲。

但信通院同一份材料里还提到几组值得注意的数字：超过60%的实例部署在公有云、10%以上存在高危漏洞、上万个实例在高频访问智能体社区、600多个实例疑似已加载恶意技能。

这些数字不是用来制造焦虑的。它们说明一件事：智能体安全已经从"未来要考虑的问题"变成了"现在就需要方法论的问题"。

二、为什么智能体安全需要新的思路

如果智能体只是另一种Web应用，WAF加漏洞扫描这套传统纵深防御应该够用。但智能体引入了四个传统安全模型没见过的新变量：

• 它会自主决策。智能体不是被动响应请求，而是基于目标自主规划行动路径。传统的"请求—响应"边界模型不再完整适用。

• 它会调用工具。每一个MCP连接、每一个API权限、每一个文件系统读写能力，都是智能体能力的延伸，也是攻击面的延伸。工具调用链越长，越容易出现TOCTOU这类时序问题。

• 它的接口是自然语言。这是智能体最大的卖点，也是最难防御的入口——指令和数据在同一个通道里流动，传统的输入校验逻辑很难直接套用，提示注入因此成为新型的"SQL注入"。

• 它有记忆。长期记忆、对话历史、向量库——这些都不再是无状态的，一次污染可能影响后续所有交互，形成持久化的攻击驻留。

这四点叠加起来，意味着攻击面从"代码漏洞"扩展到了"决策漏洞"。"在外面加一层防护"的思路不够用了，安全必须嵌进智能体的每一个环节。

三、解决这个问题，需要什么样的框架

智能体安全要回答两个问题：要防什么，和在哪儿防。前者让你不漏掉风险，后者让你不错过时机。把这两个维度交叉起来，就是一张可操作的矩阵——横轴是威胁分层，纵轴是生命周期阶段。

横轴：把"AI风险"拆成可操作的清单

按从底到上的依赖关系，智能体面临的威胁可以分为五层：

• 第一层，基础设施安全。硬件、网络、云平台的隔离与访问控制。前文"60%部署在公有云、10%以上存在高危漏洞"落在这一层。

• 第二层，数据与模型安全。训练数据投毒、对抗样本、模型窃取、参数泄露。典型场景是攻击者通过污染训练语料，让模型在特定触发词下输出预设内容。

• 第三层，智能体行为安全。目标对齐、工具越权、奖励操纵、循环调用。"600多个实例疑似已加载恶意技能"落在这一层——技能生态本质上是一个供应链问题。

• 第四层，人机交互与社会安全。提示注入、深度伪造、虚假信息、用户操纵。"上万实例高频访问社区"带来的诱导攻击主要在这一层落地。

• 第五层，治理与合规安全。数据合规、跨境流动、可解释性要求。一个典型问题是：智能体自主决策导致损失，责任如何在开发者、部署方、使用者之间划分。

纵轴：让方法论落地到每个环节

威胁清单挂在智能体生命周期的不同阶段，大致可以拆成三段七环节：

• 上线前设计——制度规划与合规设计、开发与基础设施构建、数据准备与模型训练、交互接口与行为约束设计。把安全要求嵌进设计，构建最小权限的可信执行环境。

• 上线前验证——运行时执行与监控、红蓝对抗与主动攻防验证。建立可观测性、异常检测和动态熔断，并通过模拟攻击持续检验防御。

• 上线后维护——事后审计、响应与迭代。重点是溯源能力、合规报送和反馈闭环。

安全投入的理由不应该是"加强AI安全"这样的口号，而是"用什么手段防什么威胁"。

四、行业正在形成的实践共识

从云服务商视角，已经有自律公约在明确责任界定、网络安全、数据安全、恶意行为防护、用户安全引导、风险信息报送六个维度的责任分工，但行业共识只是起点，能不能落到每家企业里，还要看各自的工程化能力。

回到开头那个数字。14万个智能体已经在公网上，这不是要不要做安全的问题，而是用什么方式跟上的问题。跟上的方式不应该是"出了事再补"，而是用一套结构化方法论，把安全嵌进智能体的每一个生命周期阶段——这也是这个系列接下来要做的事。

接下来几篇，我们会沿着这个框架继续展开：从最受关注的几类威胁切入，再逐步走进五层框架和七大生命周期环节的细节，落到具体的工具、方法和案例上。