ArkClaw安全白皮书

01 安全资质认证 序言 07 企业级ArkClaw最佳安全实践 风险与威胁分析 核心原理与理念关键安全能力介绍网络边界管控持续安全运营 OpenClaw原生安全风险ArkClaw面临安全风险 03 安全责任共担模型 总结与展望 安全责任合规责任 09 附录 架构设计原则 OpenClaw安全加固指南Skill安全开发指南安全检查清单安全开发指南 安全保障体系 默认安全设计产品安全保障纵深防御方案持续安全运营保障矩阵总结 序言 随着生成式人工智能技术的飞速发展与应用普及，AI Agent已成为企业提升生产力、创新业务模式的关键驱动力。然而，AI Agent 在赋予企业强大能力的同时，其自主学习、决策与执行的特性也带来了前所未有的安全挑战，包括提示词注入、权限滥用、数据泄露、供应链攻击等。如何在一个复杂且动态的IT环境中安全、合规地落地和使用 AI Agent ，已成为所有期望拥抱这场技术变革的组织必须面对的核心议题。 本白皮书旨在为政企机构、大型企业的安全负责人、合规负责人、IT架构师及决策者提供一个体系化的AI Agent安全落地参考框架。我们将以火山引擎企业级智能体平台ArkClaw为例，系统阐述其背后的“默认安全、纵深防御、持续运营”核心安全理念。内容将覆盖从风险识别、威胁建模，到产品安全设计、多层防护方案与安全运营实践的全过程。 我们深信，AI时代的安全，建立在平台提供方与客户紧密协作的“安全责任共担模型”之上。火山引擎致力于为ArkClaw平台构建坚实可靠的安全底座，并通过AgentSentry等产品化能力为客户提供强大的运行时安全保障。同时，我们也期望通过本白皮书，帮助客户更好地理解自身在数据治理、权限配置、合规遵循等方面的责任，共同构建一个可信、可控、可靠的 AI Agent 应用生态，确保技术创新始终在安全的轨道上行稳致远。 OpenClaw安全风险 2.1 OpenClaw原生安全风险 OpenClaw 作为一款开放、可扩展的 AI Agent 平台，在为企业带来高效率与强大自动化能力的同时，其架构特性也引入了多维度的安全风险。尤其是在接入外部网络资源、执行系统命令、调用第三方 Skills 以及对话长期记忆等场景下，一旦配置不当或缺乏必要的防护措施，极易被攻击者利用，造成敏感数据泄露、权限滥用乃至系统被入侵等严重后果。基于对社区公开案例及内部攻防实践的综合分析，我们将 OpenClaw 面临的典型安全风险归纳为以下六大类： 2.2 ArkClaw面临安全风险 在构建 ArkClaw 企业版安全体系时，需要在系统视角下识别攻击面和关键威胁路径。基于 ArkClaw 作为承载 OpenClaw 的多租户云上服务这一特性，我们结合整体架构和数据流，对业务与云上通用风险进行威胁建模与分析，为后续分层防护设计提供依据。 ArrkClaw面临安全风险 ArkClaw作为火山标准SaaS云服务，其面临以下四类云服务通用安全风险： 随着 AI Agent 在企业内部的广泛应用，一系列新的治理挑战浮出水面，传统的身份管理体系已难以为继。 Agent 的能力由其能调用的技能（Skill）、模型（MCP）、知识库等资源决定。这些资源散落在不同系统中，缺乏统一的身份标识、归属和权限语义，导致企业在治理层面无法回答“谁能用什么”、“收回权限影响多大”等基本问题。 基于以上风险和痛点，我们结合ArkClaw的架构进行威胁分析。 火山引擎ArkClaw安全保障体系 3. 安全责任共担模型 在人工智能与智能体技术快速演进的背景下，安全责任已成为企业使用人工智能服务前核心关注的问题。火山引擎希望通过「Arkclaw安全责任共担模型」向用户介绍云上 SaaS 版 OpenClaw 安全责任体系，旨在通过双方紧密协作，共同构建合规、受控、可信的 AI 业务环境。 3.1 安全责任：多层防护、共担安全使命 平台安全 供应链安全 火山引擎负责保障 ArkClaw 基础设施的安全可靠，针对 OpenClaw 安全风险进行默认安全加固（详见5.1章节），并由专业的云安全团队针对攻击入侵场景进行统一的防护运营。 火山引擎通过Skills Hub 提供经过准入扫描和例行巡检的可信技能，并支持对 MCP 工具、Plugins 的安全扫描。客户应避免从外部非官方渠道引入恶意工具，并定期对自身拥有的 Skills 和插件进行风险扫描与策略配置。 身份与权限管理 运行时安全 火山引擎通过智能体身份和权限管理平台（AgentIdentity）提供统一认证与凭据高强度加密。客户负责合理配置身份验证策略，对 API Key 和 OAuth Client进行严格托管，防止绕过安全控制的越权行为。 火山引擎通过 AgentSentry（AI助手安全）提供提示词攻击防护、敏感数据泄露拦截及高危操作阻断。客户需依据风险提示复核高危操作，并定期开展审计；若开启终端（Terminal），客户需承担防范恶意命令执行及凭据泄露的风险。 3.2 合规责任：恪守法规、共筑健康生态 内容合规： 火山引擎提供的基础模型（如豆包系列模型）已内置严苛的内容安全策略，对生成内容进行实时管控。客户若通过 ArkClaw向公众提供服务，必须采取有效措施（如接入内容安全接口、建立人工审核机制等），防止产生违法违规内容。 备案合规： 火山引擎负责基础模型的算法备案及生成式人工智能服务备案。客户作为服务提供者，需按照所属属地网信部门的要求，针对其具体的业务形态完成相应的生成式人工智能服务备案及算法备案，确保业务持证经营。 企业级ArkClaw最佳安全实践 4. 架构设计原则 在智能体时代，身份是基石。企业级 ArkClaw 的目标是建设一套面向企业的 数字员工（Agent）身份管理框架，推动企业 IT 治理从以“人”为唯一核心的传统 IAM 体系，升级到 “人 (Human) → 数字员工 (Agent) → 组织与资源 (Org & Resource)”的三层协作与治理体系。其核心是将治理对象从“人 → 资源”的直接访问控制，重构为一条更精细的授权与审计链：“人 →Agent → 能力 → 行为 → 资源”。为应对上述挑战，ArkClaw 的身份实现遵循以下七项核心设计原则，旨在构建一个安全、可控、可审计的企业级数字员工身份治理体系。 简明阐述 Agent 必须拥有独立的身份、生命周期、归属和责任关系，其存在不应依赖于任何一次会话或某个特定的用户账号。 “它是谁”（AgentIdentity）作为长期治理对象，与“它在本次任务中能做什么”（RuntimeSessionPrincipal）这一受控权限投影相分离。 组织型 Agent 的资产归属锚定于组织单元（OU）而非个人；管辖权随组织关系自动流转；使用权则在会话粒度按需授予。三者独立，互不绑死。 所有能力资源（如 Skill、MCP、知识库、API）必须拥有统一的资源标识符（URN）和一致的权限语义（如发现、使用、管理、委托），以杜绝重复造轮子。 原则4能力资源统一建模 权限决策不再是静态的角色匹配。同一个 Agent 对同一资源的访问权限，会因用户、任务、风险和审批状态等上下文的不同而动态变化，所有策略在控制面集中执行。 Agent 间的调用链上，每一跳的权限来源、权限缩减规则以及完整的审计记录都必须被显式地、结构化地建模。 平台的设计不以全量托管客户组织数据为默认前提，其治理能力必须能灵活建立在全量托管、短时缓存、按需查询等多种数据集成模式之上。 安全保障体系 5. 安全保障体系 整体保障方案如图4所示，从默认安全设计、产品安全保障、纵深防御方案和持续安全运营四个层级系统构建 ArkClaw 企业版的安全保障体系，形成覆盖“事前预防、事中检测、事后响应”的闭环防护能力，确保服务全程安全可控。 默认安全设计 产品安全保障 针对 OpenClaw 安全风险提供默认加固配置，有效控制原生 OpenClaw 的安全暴露，同时对云服务资源账号实施强化管理，并通过隔离措施（如账号隔离、VPC隔离、安全组隔离）对相关资源进行网络隔离。 围绕 ArkClaw 建立覆盖全生命周期的安全保障流程，依托 AI 驱动的自动化安全能力，结合安全专家经验与最佳实践，对产品进行全方位安全加固，持续检验并提升安全水位。 纵深防御方案 持续安全运营 面向 OpenClaw 业务安全风险构建多层次业务安全纵深防御能力，并针对通用安全风险同步部署基础安全防护措施。默认安全设计 围绕 OpenClaw 业务安全风险（如 Prompt 注入、Skills 引入等）持续开展安全运营，同时针对 CC/D-DoS 攻击、漏洞攻击、云上入侵等基础安全风险实施持续监测与响应。 架构设计原则 5.1 默认安全设计 本节从“默认安全设计”视角梳理了 ArkClaw 企业版在 OpenClaw 业务风险和云服务通用风险上的基础防护能力：一方面，通过网关绑定本地、来源限制、安全组隔离、提示词加固、镜像与 Skills 准入、安全配对与沙箱隔离、日志脱敏等措施，针对OpenClaw 六类典型安全风险进行默认加固；另一方面，依托 WAF 与 DDoS 防护、统一身份鉴权、多租户网络隔离以及云资源与账号配置基线管控，在网络与边界、身份与访问、租户隔离及云账号等层面构建稳定可靠的安全底座。 默认安全设计 风险项 OpenClaw 安全风险 2.来源限制：ArkClaw采用trusted-proxy的认证方式，只允许来自统一网关的请求访问，避免了非网关请求的直接访问 风险一不安全的访问控制 3.网络隔离：大企业版为每个企业分配独立资源账号，实现账号级强隔离；中企业版在共享资源账号的同时，为每个企业提供独立 VPC，VPC 间默认隔离，并通过 VPC 内东西向安全组控制进一步收敛边界；小企业版在共享资源账号和 VPC 的前提下，通过 VPC 内 ECS 之间默认东西向安全组隔离避免互通。企业内网与ArkClaw网络打通，严格走云上标准打通方案。 1. 提示词注入加固：针对SOUL.md进行提示词加固，防止Prompt注入导致的敏感信息泄漏以及敏感文件的读取 风险二提示词注入与记忆投毒 2. AI助手安全（AgentSentry）默认开启：依托旁路监控架构实现全流程防护，实时识别并拦截提示词注入、越权访问、数据泄露等高危行为 风险三供应链安全攻击 5.2 产品安全保障 本节从“产品安全保障”视角，系统梳理了 ArkClaw 企业版在上线前后全生命周期内内嵌的安全能力：上线前通过架构评审、代码安全扫描、产物安全扫描以及渗透测试与上线前扫描等环节，将安全基线前置融入设计、开发与发布过程；上线后依托内外部安全众测与红蓝攻防演练，持续从真实攻击视角检验与优化系统防护效果，确保上述能力以默认配置形式长期生效。 5.3 纵深防御方案 纵深防御方案以 AgentSentry 为核心，在 AI 助手场景下提供技能供应链安全、助手运行安全与权限行为安全三大能力，解决提示词注入、权限滥用、密钥泄漏与恶意 Skill 攻击等风险，保障 ArkClaw 等 AI Agent 全生命周期安全。 5.3.1 Claw安全防护 AgentSentry是火山针对ArkClaw及AI助手类智能体安全防护定制的场景化解决方案，旨在将AI助手从少数极客的"玩具"，变成人人"敢用"、"好用"的可靠生产力伙伴产品。 AgentSentry -- 让AI 助手变得可控、可信、安全 让AI助手的身份可验证、行为可审计、风险可评估 让 A I 助 手 的 行 为 边 界 清 晰 透明，关键操作可确认与拦截，提升效率的同时降低风险 让 A I 助 手 能 够 安 全 的 与 外 部 交互，保护 AI不受外部的恶意攻击影响 价值 可控 AI 助手的身份与风险评估 运