云端OpenClaw安全解决方案（医疗）

分享的四个维度 2.从哪些⽅⾯建设 1.为什么现在做 真正的风险点不⽌模型，⽽在⼊⼝、⾝份、凭据、Runtime、数据、⽹络和审计的整条⾏动链。 Agent已进⼊知识、流程、代码和运维链路，风险从“回答错”升级为“代表组织执⾏错”。 3.具体要建设什么 4.怎样稳妥落地 统⼀⼊⼝、⾝份拆分、凭据隔离、模型⽹关、执⾏前策略、外发控制、隔离审计与HITL。 选取边界清晰场景，⽤POC验证闭环，再决定如何扩围 OpenClaw爆⽕的背后，是众多失控的安全事件 ⾼权限： ⼊⼝缺少可信校验，⾼风险请求可直接进⼊执⾏链 弱认证： “利爪浩劫”大规模OpenClaw社区投毒事件 ⽤户⾝份、Agent⾝份、服务⾝份混⽤，责任不清 •攻击者使用了“ClickFix2.0”社会工程学——在技能的说明文档中伪装成”前置安装要求”，诱导用户执行恶意命令。三种主要攻击类型： •诱导下载恶意二进制文件：伪装成依赖项安装反弹Shell：建立远程控制通道信息窃取：窃取API密钥、加密货币钱包私钥、SSH密钥等 明⽂凭据： 长期静态凭据可被多次复⽤，越权成本过低 运⾏失控： Runtime只看结果，不拦过程，缺少审批 缺少溯源： 数据外发、⽹络访问和审计追溯缺少统⼀治理 为什么必须做 能⼒演进路径：从信息⽣成到系统执⾏的⻛险升级 场景——接⼊⽣产链路 执行层 知识、办公、代码协同、运维和跨系统流程都在尝试接⼊Agent。 系统操作与变更阶段 信息检索与⽣成阶段 读内⽹看系统权限叠加进正式稿领凭据看真实态跑脚本推动审批动配置影响现⽹⾃动化系统责任 回答 风险——链式放⼤ 从提⽰词注⼊、⼯具误调，升级为越权访问、误执⾏、静态密钥复⽤和数据出域。 成⽂ ⽣态——出现真实事件 V2.5⽅案中的默认⽆沙箱、明⽂凭据、恶意Skill/MCP与供应链投毒，说明不能再把Agent当普通插件看待。 调模 ⻛险升级 危害升级 威胁升级 信息层⾯→操作层⾯ 内容错误→系统破坏 知识泄露→权限滥⽤从知识泄露转向权限滥⽤ 从内容错误转向系统破坏 从信息层⾯⻛险转向操作层⾯⻛险 建立一套贯穿其整个“行动链”的安全治理体系。 从哪些⽅⾯建设——构建⼀个⽴体的“安全笼 设计思路 04数据、网络与审计 02凭据与模型网关 03执行前控制 01统一入口与身份 •外发默认拒绝，白名单放行•网络分区隔离，请求级日志与责任链可回放 •删除、批量读写、出域等操作告警拦截策略•必要时转人工审批，把握最终“核按钮” •工具身份独立，权限按任务与时间签发•模型调用分级接入，并记录去向返回路径 •所有请求先统一入口，绑定人、组织和场景•高危动作在执行前先识别发起人和责任边界 腾讯云安全“三位⼀体”防护架构 宿主层防护 网络层防护 Runtime层防护 AI Agent安全网关NDR流量安全检测 AI Agent安全中心Agent默认集成，无需部署 AI Agent安全中心实时动态监测 OpenClaw用户Channels和访问认证提示词注入攻击检测/ Web攻击检测OpenClaw提示词内容合规检测与拦截网络层流量审计和溯源Agent权限管理 OpenClaw资产识别Skills风险扫描OpenClaw运行管控和隔离主机行为层会话审计和行为审计密钥沙盒 LLM推理防护 tools Call检测和高危操作防护 破坏性文件拦截 云上Agent安全最佳实践1----为你的“龙虾”定义⾓⾊ 最佳实践：定义⾝份和职责 •根据员工或者企业应用场景，创建不同的角色；•每个员工可以申请绑定对应“龙虾”的角色；•每个角色背后是一组固定资源和权限； 角色：开发助手 职责： •负责接入AI模型进行AI coding;•提交代码需经过人工核验确认； 最佳实践：根据职责最⼩授权 •根据个人“龙虾”的职责，管理员为该“龙虾”分配相应系统资源和其访问权限即可；最小化授权原则：默认白名单机制，若授权分配过小，可以接入工单流程申请；权限管控：OpenCLaw访问工具、skills、MCP server可接入AI Agent安全网关做权限设计； 角色：个人产品助理 •PPT制作、UI美化；•产品PRD优化等； 云上部署OpenClaw安全最佳实践2----为“龙虾”开启⾝份认证 Layer 1用户身份认证层（企业微信） 最佳实践：⽤户访问“龙虾”进⾏认证 │•用户: test││•认证:企业微信OAuth → OpenClaw网关验证allowFrom白名单││•结果:网关确认"这个请求来自test" •OpenClaw的Channels层的默认配置是创建完机器人后任意人可以唤醒“龙虾”；•为了确保后续的安全审计和安全管控，建议企业客户使用“龙虾”时，对应企业身份，绑定企业微信认证；•将OpenClaw接入AI Agent安全网关，通过OAuth进行用户身份验证； AI Agent安全网关（接入和认证模块） Layer 2 OpenClaw网关层 │ •配置: channels.openclaw-wecom-bot.allowFrom: ["test"] ││ •作用:验证消息来源合法性，但不传递用户身份到下游│ •关键:这里知道你是谁，但不会告诉下游应用如iWiki 最佳实践：“龙虾”访问云服务进⾏认证 Layer 3 OpenClaw Agent Core •“龙虾”访问后端应用存在三种认证场景： •免认证访问应用：•这种应用无需认证，直接通过skills访问； •“共享账号”访问应用：•适用于由管理员统一创建的访问凭据，统一配置在网关侧； Layer 4 mcporter Client •个人授权访问应用： •token认证：在对应的应用服务中申请认证token，并将这个认证token配置；•企业身份授权：需要调用OAuth唤起企业认证； AI Agent安全网关（MCP安全网关） Layer 5 MCP server（iWiki MCP） │ •认证:验证Bearer Token合法性││ •权限:服务账号权限(不是test的个人权限)是公共权限，若是个人权限，此处会关联oauth认证│ •审计:日志记录"OpenClaw MCP服务访问了XX文档" 云上部署OpenClaw安全最佳实践3----限制部署环境和⽹络隔离 最佳实践：限制部署环境 •推荐在云上划分专属的VPC网段来部署企业的OpenClaw集群；•专属的OpenClaw VPC默认与云上其他环境隔离；•相比部署在本地环境，云端独立的隔离环境安全等级更高； 最佳实践：⽩名单⽹络隔离 •OpenClaw访问外部服务有两种路径： •访问互联网： •LLM大模型调用：建议企业封装AP I网关或采用云原生API网关收敛外部大模型调用出口；•其他web访问：比如爬虫skills等，建议统一路由DMZ的NAT网关； •访问企业内网： •生产区严格白名单：限制OpenClaw内网网段白名单访问内部生产服务； 云上部署OpenClaw安全最佳实践4----OpenClawRuntime意图识别和风险⾏为拦截 AIAgent安全中⼼运⾏时防护 场景需求 在使用OpenClaw时，用户只需要输入指令即可完成任务，Agent会自行拆解指令并完成操作。对OpenClaw的输入存在“提示词注入”风险，攻击者或者恶意的用户，会精心构造风险提示词对OpenClaw发起注入 核⼼能⼒ 控制粒度 统一管控 Runtime防护--LLM推理防护 •分析Agent意图和任务、在任务执⾏前后，⼯具调⽤前后Hook检测点，分析敏感操作； 策略统一下发 Runtime防护--数据外泄意图检测 •分析Agent执⾏命令和返回数据结果，判定数据外泄和敏感数据，⽐如诱导Agent⾃曝家门等意图prompt进⾏识别 Runtime防护--Tools Call检测和高危操作防护 •对Agent任务和操作意图进⾏分析，当分析到Agent执⾏⽂件删除破坏等意图⾏为，进⾏实时拦截阻断 Runtime防护--HITL人在回路审批 •定义需要⼈⼯⼲预的⼀些场景；⽐如删除操作、数据库操作、脚本执⾏前、风险⼯具或skill调⽤前等； 云上部署OpenClaw安全最佳实践5----OpenClaw访问外⽹、外部⼤模型访问控制策略和架构 最佳实践：外部模型接⼊安全⽹关 •OpenClaw会使用外部大模型，需要配置API key写入“龙虾”；•企业级场景推荐内部部署模型网关<通常推荐AI Agent网关>接入外部所有模型的API，token安全存储在网关侧；•AI Agent网关对外暴漏接入地址，配置在OpenClaw的主模型访问配置文件中； 最佳实践：外部模型基本安全策略 •提示词上下文限制：约定在OpenClaw内配置文件；•Token限速：对访问模型的token进行限速；•安全审计：记录OpenCLaw的提示词请求记录；•敏感数据外发检测和拦截：担心数据外泄，可在网关侧开启DLP；•提示词安全：注入、越狱、合规检测； 云上部署OpenClaw安全最佳实践6----隔离“龙虾”的数据访问和凭据获取 最佳实践：访问数据通过MCP server •云端数据安全重要性，避免Skill直接访问数据库；•skill是工具使用的说明书，不建议在skill里配置访问数据库的认证口令，执行语句等；•建议访问后端数据封装为MCP，经由Agnet安全网关验证并颁发授权； 最佳实践："龙虾"0密钥 •不推荐在OpenClaw本地路径配置访问服务的token;•不推荐直接写在skill里敏感凭据；•建议使用[密钥沙盒]将密钥保存在“龙虾”外部，OpenClaw通过代理安全的调取凭据，全程凭据不存储；•-在Agent和凭据之间建立一道安全代理层，实现「能力可达、凭据不可见」•-凭据从哪来、如何注入、用完如何销毁——全部由密钥沙箱内部链路自动处理。•-凭据「用后即焚」—从获取到擦除的全生命周期管控。 Skills风险扫描与隔离 •认证鉴权配置； •深度扫描：对OpenClaw安装的本地及第三方Skills进行扫描，深度排查木马病毒、恶意Payload及提示词注入漏洞，确保您的AIAgent使用的每一个工具都安全可信。 云上部署OpenClaw安全最佳实践8----全链路溯源和审计，说清楚到底发⽣了什么 场景需求 •同时为了满足合规要求，将Agent作为一种新型的云上工作负载，要对工作负载的访问行为、流量进行审计；•同时具备威胁溯源的能力，帮助企业客户完成安全事件分析和溯源取证； 核⼼能⼒ 主机行为层会话审计和行为审计 •行为层面审计：全面记录AIAgent的系统级命令与网络行为，异常后门或违规操作都无所遁形。•对话与工具审计：系统会审计提示词与工具（Tools/MCP）调用行为。发生提示词注入或越权行为，可立即提供完整日志，满足合规溯源的严苛要求。 联动管控策略一键添加管控 •对审计到的安全风险可以快速联动宿主层面的管控策略，添加主机行为管控； 网络层流量审计和溯源 •对OpenClaw宿主机访问的流量进行镜像审计，分析以OpenClaw为中心点向南北方向、东西方向的流量访问路径、请求，以及在安全事件发生时进行威胁溯源； “三位⼀体”防护架构框架，配合⼋⼤安全实践 关键组件与能⼒ 核⼼防护⽬标 AI Agent安全中⼼ 01宿主层防护 保障承载OpenClaw的云主机/容器环境本⾝的安全 •资产识别与⻛险评估：⾃动盘点Agent，扫描恶意Skills与敏感凭据泄露•运⾏管控与隔离：基于命令、IP/DNS的策略，控制Agent在宿主上的⾏为与⽹络连接•⾏为审计：记录系统级命令与⽹络会话 关键组件与能⼒ 核⼼防护⽬标 AI Agent