在 Agent 大规模部署的场景下,提示词注入、越狱攻击、混淆走私和隐私泄露等安全威胁日益凸显。云安全中心 Agent 安全中心提供基线检测、漏洞扫描、AI 安全护栏和 SASE 联动等多种检测与防护手段,帮助快速识别并拦截 Agent 安全风险。
常见的 Agent 安全风险
了解各类 Agent 风险的具体含义和业务影响,便于检测和防护 Agent 风险:
提示词注入:攻击者通过精心构造的输入文本,诱导 Agent 执行非预期的操作或泄露敏感信息。可能导致业务逻辑被绕过或数据泄露。
越狱攻击:攻击者尝试突破 Agent 的安全限制和使用规则,使其执行被禁止的操作。可能导致 Agent 输出违规内容或执行危险操作。
混淆走私攻击:攻击者通过编码、混淆等手段隐藏恶意指令,绕过安全检测机制。可能导致恶意指令被执行而不被察觉。
指令和隐私泄露:Agent 在处理请求时可能意外泄露系统提示词、配置信息或用户隐私数据。可能导致敏感信息暴露,影响系统安全和用户隐私。
Skills 投毒(Skill Poisoning):指攻击者通过在 Agent 所加载的 Skill(技能/插件)内容中植入恶意或隐蔽指令,诱使 Agent 在调用该 Skill 时以用户身份执行非预期操作,从而导致敏感信息泄露、数据破坏或权限滥用的一类提示词注入攻击。
Agent 风险防护能力
Agent 安全中心提供以下风险检测和防护能力,常见的检测能力说明如下,更多检测项说明,请参见Agent 安全中心检测能力。
AI 相关基线风险检测:基于Agent最佳实践的基线配置检查,支持 AI 漏洞检测。
Skills 检测与阻断:基于 OpenClaw 运行时深度检测 Skill 配置健康度,识别过度授权、凭据暴露等不安全配置,并阻断恶意 Skills 加载。
Agent 恶意命令执行阻断:当 Agent 执行反弹 Shell、读取敏感文件等恶意命令时进行实时阻断。防御类型包括:下载并执行链、通用反弹 Shell、Cron/Systemd 持久化、SSH 持久化与横向移动、防御绕过与反取证、Linux 破坏性影响、挖矿活动等。
OpenClaw 实时防护:Agent 安全中心支持 OpenClaw 实时防护,授权开启后限时免费。可有效防御提示词攻击并拦截恶意 URL 访问。启用 AI 安全护栏产品后,可获得敏感内容检测等更多防护能力。
多产品协同管理:自动同步办公安全平台(SASE)和AI安全护栏管控的 AI 资产以及风险事件至Agent 安全中心的AI 资产和Agent 风险列表中,实现多域风险统一监控及处置。
适用范围
使用 Agent 安全中心前,需完成以下准备工作:
已将 AI 资产接入 Agent 安全中心。
若使用 OpenClaw 实时防护,需确保服务器已安装 OpenClaw 且 Node.js 版本 ≥ 22。
检测方式选型建议
不同检测方式适用于不同场景,建议根据实际需求选择:
对比项 | 系统定时自动检测 | 手动检测 | AI安全护栏 | 办公安全平台(SASE) |
适用场景 | 日常安全巡检,持续监控资产风险状态。 | 配置变更后立即验证风险状态。 | 生产环境实时防护,拦截运行时的恶意请求。 | AI Agent办公安全监测,覆盖恶意Skill、OpenClaw漏洞、Agent配置风险监测三大场景。 |
检测方式 | 自动 | 手动 | 实时 | 实时 |
触发方式 | 每天一次自动执行 | 手动触发 | 开通服务后实时检测。 | 开通服务后实时检测。 |
结果存储 | 同步到Agent 风险列表 | 同步到Agent 风险列表。 | 部分同步到Agent 风险列表。 | 同步到Agent 风险列表。 |
费用 | 限时免费(公测阶段) | 限时免费(公测阶段) | 按量计费(需单独开通) | 包年包月(需单独开通) |
检测 Agent 风险
检测说明
检测耗时:具体时间取决于资产复杂度。
系统影响:检测过程为只读分析,不会影响线上业务运行。
结果有效期:检测结果反映检测时刻的风险状态,建议在配置变更后重新检测。
系统定时自动检测
接入Agent 安全中心后,系统每天自动对已接入的 AI 资产进行风险检测。
扫描时间和频率:每天自动执行一次。
扫描范围:已接入的全部 AI 资产。
扫描结果:可在Agent 风险的风险事件列表中查看及处理。
手动检测
手动检测操作步骤如下:
访问云安全中心控制台-Agent安全中心-Agent概览,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在接入平台区域,单击右上角的资产同步。
系统将同步平台的AI Agent、模型服务、工具集、数据集、应用配置等相关数据,同时进行风险检测。
说明资产同步可能需要一定的时间,请耐心等待。
AI安全护栏
AI 安全护栏是独立的商业化安全服务,提供更全面的实时防护能力。开通后,检测结果(风险事件)将同步至Agent 安全中心的Agent 风险列表中,便于统一管理。
前往 | AI 安全护栏产品开通服务页面,开通 AI 安全护栏产品服务。
说明默认付费方式为按量后付费,按 API 调用次数计费,不调用服务不收费。具体价格和免费额度参考产品购买页说明。
设置自定义检测 Agent(可选),具体操作,参考快速使用自定义检测Agent。
执行检测后,系统将自动同步检测结果至Agent 安全中心,可在Agent 风险的风险事件列表中查看和处理。
办公安全平台(SASE)
SASE可扫描终端 AI 资产、识别风险终端、执行安全管控,建立终端 AI 使用合规管理流程。开通 SASE 服务后,相关资产和风险数据将自动同步至 Agent 安全中心。
前往办公安全平台 | 购买页,购买内网访问安全(Private Access )任意版本合适的服务。更多说明,请参见办公安全平台计费概述。
配置 Agent 风险分析策略,具体操作,参考Agent 管理最佳实践。
风险策略分析完成后,系统将自动同步相关风险和 AI 资产数据至Agent 安全中心,可在Agent 风险的风险事件列表中查看和处理。
启用 OpenClaw 实时防护
操作步骤
开启AI安全护栏
登录 | AI 安全护栏产品控制台。
在页面,搜索
agent_runtime_guard(agent运行时防护)防护服务。单击
agent_runtime_guard操作列的管理。按业务需求开启防护维度,更多操作参考检测项配置。
安装 Agent 安全防护插件。
系统自动安装
适用场景:仅支持已被 Agent 安全中心检测出的 OpenClaw 资产。
操作步骤:
一键批量安装:
在Agent 概览页接入平台的 OpenClaw 区域,单击立即防护。
在启用 OpenClaw 实时防护弹窗中,选择一键批量安装。
说明安装任务提交后,预计 10 分钟内完成。可关闭此窗口,完成后将自动同步 Agent 资产。
单个 Agent 安装:
进入Agent 概览页面,单击 Agents 图标,进入Agent详情页,切换视图模式至列表。
在 Agent 列表页,单击目标 Agent 安全防护列下的
图标。在安装提示框中,单击确定。
手动安装
适用场景:系统自动安装失败或未被 Agent 安全中心自动检测到的 OpenClaw 资产。安装完成后,相关数据将自动同步至 Agent 安全中心。
操作步骤:
在Agent 概览页接入平台的 OpenClaw 区域,单击立即防护。
在启用 OpenClaw 实时防护弹窗中,选择手动安装并复制安装命令。安装命令格式如下:
重要安装命令具有时效性,请注意在执行安装指令区域显示的过期时间,过期后需重新获取。
wget -q "https://update.aegis.aliyun.com/download/openclaw-security-assistant/1.1.0/linux/installer.sh" && chmod +x installer.sh && ./installer.sh install --key "<YOUR-INSTALLATION-KEY>" --autoRestart登录 OpenClaw 部署服务器,执行安装命令。
警告服务器必须已安装 OpenClaw 且 Node.js 版本 ≥ 22。可运行
node --version查看当前版本。安装过程中需要重启 OpenClaw Gateway,请先暂停 OpenClaw 相关操作。
确认安装状态:
方式一:刷新Agent 概览页,查看 OpenClaw 区域下已防护的资产是否增加。
方式二:
在Agent 概览的关系图谱区域,单击中央的 AGENTS 图标。
进入Agent详情页面,切换查看模式为列表,安全防护列显示为
即表示安装成功。更多说明,请参考安全防护插件安装情况。
插件安装故障排查
以下为常见安装失败场景及排查建议:
sudo 用户不存在错误
错误信息:
sudo: unknown user <username>和sudo: error initializing audit plugin sudoers_audit可能原因:
sudo 配置中引用了不存在的用户(可能是用户名格式异常或已被删除)。
sudoers 审计插件初始化失败,可能与 sudo 版本或 PAM 配置有关。
排查方法:
检查
/etc/sudoers及/etc/sudoers.d/下的配置文件中是否存在异常用户引用。确认该用户是否在系统中存在:执行
id <username>命令验证。
解决方案:尝试修复 sudoers 配置或重新安装 sudo 包。
OpenClaw 未检测到
错误信息:
ERROR: 未检测到可用的 openclaw(已尝试 global / pnpm / docker)可能原因:
服务器上未安装 OpenClaw 或安装路径不在系统 PATH 中。
OpenClaw 通过 pnpm 或 Docker 方式部署,但安装脚本未能正确检测到。
排查方法:
确认 OpenClaw 已安装并可正常运行:执行
which openclaw或openclaw --version。若 OpenClaw 通过 Docker 部署,确认容器正在运行:执行
docker ps | grep openclaw。若通过 pnpm 安装,确认 pnpm 全局 bin 目录在 PATH 中:执行
pnpm bin -g。
解决方案:将 OpenClaw 可执行文件路径添加到系统 PATH 后重新执行安装命令。
OpenClaw Gateway 进程缺失
错误信息:
openclaw-gateway process not found可能原因:
openclaw-gateway 进程未运行或未安装。
gateway 进程已崩溃或异常退出。
进程名称或路径不匹配检测脚本
排查方法:
检查 gateway 是否已安装:
which openclaw。检查进程状态:
ps auxI grep openclaw-gateway。查看是否有相关 systemd 服务:
ps auxI grep openclaw-gateway。检查日志确认 gateway 是否启动失败:
journalctl -u openclaw-gatevay或查看应用日志。
解决方案:重启
openclaw gateway restart或重新安装OpenClaw Gateway即可。
查看和处理风险事件
访问云安全中心控制台-Agent安全中心-Agent风,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
在风险事件页面,单击目标事件操作列的处理。
在风险事件处理详情页,查看风险详情。评估风险后,可选择以下处理方式:
人工处理:根据详情页的推荐处置方案或加固建议,在 Agent 应用的代码或配置中进行修复。
忽略:若当前风险为可控风险无需处理,单击下方忽略按钮。忽略后,该风险事件将不再出现在待处理列表中,但下次检测时如果仍存在该风险,将再次生成风险事件。
重新扫描:需验证人工处理风险的结果或需对当前 AI 资产重新进行风险检测时,可单击下方重新扫描按钮。
重要仅适用于来源为Agent 安全中心的风险,检测需要一定时间,可在控制台查看进度。
重新扫描会对当前风险事件关联的 AI 资产进行全面检测,不仅验证当前风险是否已修复,还会检查该资产是否存在其他风险。
计费说明
公测期间,系统定时自动检测和手动检测功能限时免费。
AI安全护栏和办公安全平台为独立商业化服务,需单独开通并付费。
说明AI安全护栏按量计费(按 API 调用次数计费),办公安全平台包年包月。具体价格和免费额度参考对应产品购买页说明。
Agent 安全中心检测能力
云安全中心检测项(基线和漏洞)
Agent 基线检查
Agent 安全中心支持 AI 相关基线风险(如阿里云标准-OpenClaw 安全基线)的检测,并与云安全态势管理(CSPM)中的系统基线风险关联,实现统一的安全基线管理。对 OpenClaw(原 Clawdbot)的配置进行自动化安全基线检查,覆盖服务配置和身份鉴别两大类检查项,帮助发现并修复不安全配置。
检查类别 | 检查项 | 基线名称 |
服务配置 | Gateway 禁止绑定 0.0.0.0 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 |
Gateway 明文密码禁止存储在配置文件 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
DM/群组接入策略 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
开启沙箱隔离 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
日志/会话开启敏感信息过滤 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
隔离共享 DM 会话 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
关闭全局 Elevated tools | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
禁用 Skills watcher 动态刷新 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
安全加固 | 配置正确的反向代理 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 |
Gateway 配置强 token 认证 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
禁用插件系统或开启白名单限制 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
配置文件目录权限 | 阿里云标准-OpenClaw(原 Clawdbot)安全基线 | |
OpenClaw(原 Clawdbot)登录弱口令检查 | 弱口令-OpenClaw(原 Clawdbot)登录弱口令检查 | |
身份鉴别 | OpenClaw(原 Clawdbot)未授权访问 | 未授权访问-OpenClaw(原 Clawdbot)未授权访问高危风险 |
漏洞检测
Agent 安全中心关联漏洞管理功能,针对 OpenClaw 已知的多个安全漏洞进行版本对比检测,及时发现并修复存在安全风险的旧版本。
Agent 安全中心检测项
Agent 安全中心针对主流 AI 平台和工作流的常见安全隐患进行检测,重点关注传输加密、权限控制和凭证安全。检测项覆盖 PAI、百炼、Dify、Agentkit 和 AgentRun 等平台。
平台 | 检查项 | 描述 |
PAI | Model URL 未使用 HTTPS 协议 | 模型端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
PAI | MCP 服务端点 URL 未使用 HTTPS 协议 | MCP 端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
PAI | API Tool 请求 URL 未使用 HTTPS 协议 | 工作流中调用的 API 节点使用明文 HTTP 协议传输数据,通信内容(包括请求参数、响应结果、认证 Token 等)在传输过程中未加密,易被中间人窃听、篡改或劫持,导致敏感信息泄露或业务逻辑被操控。 |
百炼 | HTTP 请求节点未使用 HTTPS 协议 | 工作流中调用的 HTTP 请求节点使用明文 HTTP 协议传输数据,通信内容(包括请求参数、响应结果、认证 Token 等)在传输过程中未加密,易被中间人窃听、篡改或劫持,导致敏感信息泄露或业务逻辑被操控。 |
Dify | 知识库 URL 未使用 HTTPS 协议 | 知识库 URL 端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
Dify | 知识库 RAG(检索增强生成,Retrieval-Augmented Generation)权限设置过大 | 知识库的可见性或关联应用的访问控制设置过于宽松,工作空间下的用户均可使用该知识库,可能导致数据泄漏等。 |
Dify | Ollama 模型 URL 未使用 HTTPS 协议 | Ollama 模型 URL 端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
Dify | MCP 服务端点 URL 未使用 HTTPS 协议 | MCP 端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
Dify | 工作流未接入 AI 安全护栏 | 工作流未启用 AI 安全护栏,可能导致合规性违规、提示词注入与绕过、敏感数据泄露等诸多风险。 |
Dify | 代码节点存在硬编码 AK / SK | 在工作流的代码节点中直接写入了云服务商的访问密钥(Access Key / Secret Key),导致凭证以明文形式暴露在代码或配置中,任何可访问该工作流的用户均可直接获取到相关密钥,可能造成数据泄露、资源盗用等后果。 |
Dify | HTTP 请求节点未使用 HTTPS 协议 | 工作流中调用的 HTTP Tool(如 API 工具节点)使用明文 HTTP 协议传输数据,通信内容(包括请求参数、响应结果、认证 Token 等)在传输过程中未加密,易被中间人窃听、篡改或劫持,导致敏感信息泄露或业务逻辑被操控。 |
Dify | HTTP Tool 未开启证书校验 | HTTP Tool 在发起请求时禁用了 SSL/TLS 证书校验,导致无法验证服务器身份真实性。攻击者可通过伪造证书实施中间人攻击,窃取或篡改通信数据。 |
Agentkit | MCP 服务端点 URL 未使用 HTTPS 协议 | MCP 端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
AgentRun | API 模型端点未使用 HTTPS 协议 | API 模型端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击(MitM)窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
AgentRun | Ragflow 知识库端点未使用 HTTPS 协议 | Ragflow 知识库端点使用明文 HTTP 协议进行通信,导致请求参数、响应数据、认证 Token 等敏感信息在传输过程中以明文形式暴露。攻击者可通过中间人攻击(MitM)窃取 API 密钥、用户输入、模型输出等关键数据,甚至篡改指令,造成数据泄露、服务劫持或恶意操作。 |
AgentRun | Flow 工作流 HTTP Tool URL 未使用 HTTPS 协议 | 工作流中调用的 HTTP Tool(如 API 工具节点)使用明文 HTTP 协议传输数据,通信内容(包括请求参数、响应结果、认证 Token 等)在传输过程中未加密,易被中间人(MitM)窃听、篡改或劫持,导致敏感信息泄露或业务逻辑被操控。 |
AgentRun | Flow 工作流代码节点存在硬编码 AK / SK | 在工作流的代码节点中直接写入了云服务商的访问密钥(Access Key / Secret Key),导致凭证以明文形式暴露在代码或配置中,任何可访问该工作流的用户均可直接获取到相关密钥,可能造成数据泄露、资源盗用等后果。 |
常见问题
OpenClaw 实时防护无法使用的原因是什么?
未购买AI安全护栏:启用 OpenClaw 实时防护,需购买AI安全护栏。
防护插件安装失败:安装命令失效,若为手动安装,在执行安装指令区域可查看过期时间,过期后需重新获取。