OpenClaw上线两个月,25.2万GitHub星标,超越Linux登顶历史第一。3月6日腾讯大厦近千人排队安装,QQ当天向个人用户开放接入,数百个AI Agent被拉进各种群聊——写方案、查资料、做总结、自动处理任务。地方政府也在跟进,深圳龙岗发布"龙虾十条",无锡高新区推出12条专项政策。
热度毋庸置疑。但在将Agent接入企业生产系统之前,有几个问题需要冷静下来认真评估。
一、角色已经变了,治理体系还没跟上
OpenClaw改变的是AI与人的分工方式。此前的AI产品是"你问它答",决策权始终在人手里。OpenClaw不同——它接管任务,自己拆解目标、调用工具、推进中间步骤,直到任务完成。
这意味着AI从"顾问"变成了"执行者"。但围绕执行者的权责体系,目前基本是空白的。
大多数企业让Agent借用员工账号执行操作——员工承担责任,却对Agent每一步决策没有控制权。这不是权责不清的问题,是从一开始就没有建立权责关系。传统的权限体系为"人"设计,固定的访问控制难以匹配Agent跨系统、动态变化的操作需求。
建议:在Agent接入前,为其建立独立的身份标识和权限体系。不要复用员工账号。明确Agent的操作边界、审批流程和异常处理机制。
二、部署方式决定数据控制权归属
市场上形成了两条路径:
本地部署(WorkBuddy、QClaw):模型运行在企业自有服务器或私有云上,数据理论上不离开本地网络。适合金融、医疗、政务等数据主权要求严格的行业。代价是权限管控、审计日志、密钥安全全部由企业自行设计和维护。
云端托管(ArkClaw、MaxClaw):开箱即用,平台负责基础设施和账号管控。但企业发出的每一条指令、Agent处理的每一份数据,都在服务商的基础设施上流转。服务条款中关于数据用途和模型训练的条款,务必在签约前逐条确认。
需要特别注意的一个误区:本地部署不等于数据安全。 只要底层仍调用外部模型API,请求内容就已经离开了本地网络。本地部署的是Agent的运行环境,不是数据的全程隔离环境。
三、速度与管控之间存在结构性错位
人工操作天然带有节奏——确认、停顿、判断。这些"摩擦"看似低效,实际上是风控的缓冲空间。
Agent没有这些停顿。一旦触发,它沿任务链条全速推进。等异常被识别时,整条链路往往已经跑完。传统的事后审计机制在这个速度面前只能复盘,很难拦截。
当部署门槛低到业务人员可以独立完成时,IT和安全团队可能完全不掌握企业内Agent的数量、连接范围和运行权限。这些游离于管控之外的Agent,不是没有风险,而是连风险在哪都无法评估。
建议:
- 建立Agent的注册和备案机制,IT团队需掌握全局视图
- 在关键操作节点设置人工审批断点,不要让Agent全链路自动执行
- 建立实时监控和异常熔断机制,而非仅依赖事后审计
国家互联网应急中心的安全建议
3月10日,CNCERT发布了OpenClaw安全应用的防护建议:
- 强化网络控制,不将管理端口直接暴露在公网,通过身份认证和访问控制管理服务访问。使用容器等技术限制Agent权限
- 加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制
- 严格管理插件来源,禁用自动更新,仅从可信渠道安装经过签名验证的扩展
- 持续关注补丁和安全更新,及时进行版本升级
总结
市场已经选择了AI Agent,方向不可逆。短期内最先规模化落地的,大概率是任务边界清晰、容错空间较高的场景——内容生产、数据整理、客服响应、IT运维。
对于重权限、重可靠性的核心业务流程,Agent的深度落地还需要等待工具成熟、规范明确、基础设施完善。
真正紧迫的问题不是"要不要用",而是:业务流程是否标准化到可以被AI接管?安全边界是否准备好迎接一个自主运行的数字员工?
把这些想清楚再动手,不迟。