2026-03-26 13:17:09 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文记录了安全从业者围绕终端沙箱与AIAgent工具OpenClaw的热烈讨论，指出沙箱方案存在兼容性差、资源占用高、隔离不彻底等问题，而OpenClaw虽提升效率但伴随权限滥用、skill投毒、供应链攻击等风险。讨论涉及AI代码审计的隐私与成本挑战、企业应对AI风险的治理思路，以及安全团队在效率与安全间的平衡策略，反映了AI时代安全角色从阻拦者向赋能者转型的现实困境。 综合评分： 71 文章分类： AI安全,安全建设,实战经验,终端安全,安全运营

cover_image

从终端沙箱到AI Agent：安全隔离的演进与安全角色的重塑｜总第311周

原创

群秘群秘

君哥的体历

2026年3月23日 08:01 北京

0x1本周话题

话题一：PC客户端沙箱功能，号称可以虚拟一个独立的办公空间，大家用的多吗？

A1:终端沙箱一般比较重，安装驱动相关，兼容性好像不太行，资源占用也比较多。临时应急还行，常态化办公好像不太行。运维复杂，关键隔离的也不彻底，各种逃逸。

A2:差不多5年前有用过，主要是解决数据泄露的问题，特别是在苹果上。如果有采用苹果做开发需求的话，应该是一个方向。

A3:后来不管了，不过还在一直用，其实也有一些问题。但看重的是内部数据不外泄这个点。这些年这种产品也多了，可以再听听大家建议。当时的目标是取代云桌面。现在实际上也没有完全取代，各用各的。

A4:互联网侧远程临时用用可行。我觉得终端沙箱就是个虚拟桌面，虚拟机，个人研究大模型，放在沙箱里屏蔽影响，或者做安全分析，都很正常，作为企业，仍然是有管理诉求的。

所以我们是云端推的虚拟桌面，pc终端不存办公数据，定期回滚，办公数据在虚拟桌面里另一种用法是上网在沙箱里，pc本体不能上网。

A5:本质还是双桌面，物理分开最简单靠谱，非要逻辑层炫技，效果差成本也不一定低，维护还复杂，过于影响效率。AI时代，效率可能是最关键的。

openclaw最开始设计的时候基本就是裸奔，我想安全行业没人想到还能有人敢把agent直接接进高权限系统里做成产品，但就是爆火了。

A6:其实heige的ai.py一直都是这种思路，砍掉章鱼的手，再安装假肢，heige很早就是这个观点。大大多数人（感觉大于99%）没有受到网络安全教训，所以就不会在意这个。之前的各种开源中间件默认无授权访问就证明这点。

A7:有这种需求的场景都是因为安全更优先，然后在这里纠结满足安全的前提下提效率，没出事就是效率也要保障，出信安事件时候就没人提效率了。

A8:就跟汽车刚被发明的时候，非常不安全，但变革了交通行业。现在老去说ai的安全问题，感觉像汽车刚出来的时候，做那个碍事的。

做安全有时候最好的策略就是静静等着，等出事。因为一定会出事的，没出事的时候跳出来说安全吃力不讨好。

A9:守住不出底线安全事件，前期先揭示风险，不能犯原则性错误，不能人为过失。需要安全同仁有些牺牲精神，安全圈要认可“伤疤”是荣誉勋章，没扛过事的不是合格的安全专业人士。

A10:OpenClaw稍微有点特别，因为已经因为“不安全”上新闻了，这时候老板来问，不好装不知道，到底让不让用？

A11:后期批评业务不安全，做AI安全再吃红利，两头吃。安全有时说多了，会给扣别的帽子。没看到解决方案的时候，提问题的人有时就是问题本身。

A12:挡不住。早上刚发了禁止用OpenClaw 老板就来找我，老板的意思是：安全你想办法，但是不要阻拦。

A13:办法有的，exception approval，请他签个字。现在环境很卷，安全和其他业务部门一样都要年年证明自己的价值，有事要搞大，没事也得作秀。

A14:思路也没错，让AI参与自主业务决策，最重要的就是：谁为AI的决策负责？所以既然老板要用，他要背责吧。

自己不下水告诉别人溺水风险，说了也不信。在AI大潮中安全团队要比业务团队更积极拥抱AI，再跟业务团队讲原则、讲案例，守好底线。

A15:除非你做游泳圈，不然你比别人先下水了，然后告诉别人风险，别人咋想。

A16:问题安全想先用很难得到预算支持，业务先行安全还得保障。现在算力是紧缺资源，得抢。可以和业务一起抱怨公司不让用openclaw，不就是个特批吗，怎么老板就不批呢？

A17:那当然要有能力做游泳圈或买游泳圈，只能发现安全问题不能解决的安全团队，那就容易达不到老板预期了。

A18:说白了，做让业务找安全的事儿，少做安全管业务的事儿。做事情和为人靠谱，承诺算数，自己努力和业务一起发展，平时在大家看不到的地方努力做安全，老板和业务才会认可安全团队。

A19:那现在业务想用openclaw，但是看到新闻觉得不安全，找安全出个安全方案，怎么办？

A20:那就出呗，这不是好事吗？业务都主动找安全来支持了。

A21:哪有这么容易出？主要是这个东西本来就不安全。

A22:看用在什么场景吧，网络和设备隔离，在外网机上随便折腾。

A23:我在想和这种情况是否类似：汽车刚出来的时候，是不是因为工艺、材料等基础技术的限制，没办法做的很安全。但后面随着金属加工、油料冶炼技术的进步，发动机马力和材料才可以支撑做的更安全。

A24:这个我自己试了试，感觉很难管控。除了把它隔离起来，我想不出有什么别的安全方案，但他们又想对接办公工具提效，请教下各位有什么方案。

Q1：研究过吗？装了openclaw吗？真有很不安全吗？真的很难搞方案吗？自媒体的文章不可信，自己深度体验下最好。

A1:管好暴露端口、管好skill、管好model用自己的，应该就行了。说的应该都是一些极端场景，我前几天搞了一套试了下，自动化执行任务的时候，很多还是要手工去操作确认的，自媒体有点夸大。

A2:毕竟让出了root权限来获取定制化的服务，而这又是安全最重要的，AI安全的一个原则是确保人类掌握最高权限。终端管理把管理员权限限制住，不能执行高权命令和高危端口，应该还好。

A3:这个逻辑我认为是不对的，root权限本来用户也有，用户手上有root权限的东西多了去了。ai他不会自己主动去利用root干啥，都是用户指使的。

A4:新兴事物领导更多的看重的是快速变成生产力，为什么那么在意安全呢，其实可以评估下风险，如果能接受就先搞呗。

A5:哪怕skill被投毒，那也是指使他去装了skill 这和python 投毒有啥本质上的区别吗？我认为没有。

A6:现在AI 的工具和架构发展太快，本身 openclaw 这东西还不知道能走多远。openclaw只是个缩影，最近一堆xxxclaw。真要说点区别，就是ai的那套逻辑不是那么透明化。

A7:这个可以参考下呢：

（github.com/slowmist/openclaw-security-practice-guide/ ）

A8:攻防本质没啥变化，感觉本质还是管好安全基线，控制好权限。

A9:我也是让openclaw自己检查安全状态，检查啥玩意儿她自己想，我会补充下，我在让我应急团队依据他们经验出一个本地排查的skill。寻思高频crontab运行，是不是就能在本地实现入侵检测的效果？

A10:算是输入吧，整合一下弄成内部治理的东西，然后进一步细化。模型层公司统一提供服务，我不管的，这些都写进openclaw的初始化配置里面，不需要用户考虑，当然也允许用户调整。

A11:理论可行，但服务器性能低的一般不会这么搞。

A12:应该还好，取数据肯定不会比HIDS这类频繁和量大主要是token消耗吧，可能检查一天花了几千块…

A13:这和纯HIDS有什么区别？

A14:端侧处理。那就是把引擎下放了，也不能说下放，因为其实还是走token，引擎云端了。

A15:数据量低，Ai能做深，而且是交付给用户。Ai能解决专业性问题，指导小白用户，相当于弄个ai时代的360。

A16:小参数的端侧模型，感觉可以解决你这个需求。不过我觉得，高频读取、影响pc稳定性的部分，现在ai好像替代不了。

A17:可以把检测内容固定成脚本，检测异常再调ai。

A18:啥时候ai跟cpu集成，可能就行了。那就是以后ai调用一堆本地的agent干活，可能也行。

A19:openclaw的交互是ai为入口的，先过ai 再干别的，不用那么高频啊，半小时跑一次也够了吧，个人电脑这个频率够够的了。

A20:如果用多openclaw可能会有不一样的看法。考虑过token大量被烧的痛感吗？考虑过模型不够聪明，出现幻觉的痛感吗？

A21:hids内容内核hook拿信息的。执行层面还是得用工具吧，指挥可以用openclaw。不过我怀疑ai可能会实现一个比现有内核hook更好的、效率更高的工具，但是opus好贵。

A22:我们昨天发布的喂给openclaw的指南，要求模型一定要给力，否则理解不好，执行更不好，还浪费一堆token。难以真的当啥正经事儿，不够成熟，各种问题不断调不断优化。

A23:我自己codex写了个轻量级hids，在openclaw之外运行，效果很好，能不烧token的就尽量避开。

A24:openclaw compact压缩历史可以节省很多token，记忆方式用好也可以省很多。

A25:现在还是给他配置已有的skill，或者自己写一些简单的skill、工具。现在可担心后面模型能力升级之后，你一个需求，它就开始自己写更好用的工具了。从opus的能力演变，产生的担心。

A26:openclaw离生产级应用还很有距离，这玩意出来才一个多月。不过之后可能会越来越不错。

A27:我上周教她看下属周报，一步步教的，教完测试了好几次，都没问题，然后让她做定时任务。这周我看她还是没跑成功，又在js上遇到困难了。自己一顿调。调不出来就给我胡说八道了。

A28:昨天看了一个新闻。已经有ai绕过写高级语言，直接用硬件的指令集写程序。你把openclaw里面的agent角色分开，写代码的给配上opus你再试试。

A29:我没有用代码，走的cdp 浏览器，截图-识别-点击，这么干的。

A30:我让ai写了个浏览器扩展，控制浏览器。一些动态的dom也还是处理不好。。

A31:不过我感觉是时间问题，我试了不同的模型，识别dom理解页面的能力也不一样。

A32:用cursor，纯纯汉字描述写出来的，现在写点啥代码，不用cursor都难受了。

A33:我去年给部门总结会说：不积极学习会很快跟不上时代，因为openclaw两周换了三次名字，不积极学习你可能连名字都叫不对了。

A34:试了cc吗？目前双持感觉cursor比cc用起来舒服些。

A35:cursor体验好，好歹国内还能买买，cc封了我，放弃他了。

A36:（https://openclaw.allegro.earth ）这检查读的什么数据？服务端还是个人电脑？

A37:有时候很难讲安全风险，直到痛过之后。不然他第一反应就是，什么是痛。

A38:确实很少见把专业写得这么清楚的，不过限定45岁是个好迹象。

A39:分享一下，现在用的skill都不太行，只是能压缩对memory .md的读取。cusor是部分程序员喜欢，绝大部分人都是喜欢cc。

A40:Anthropic 之前发布 AI 安全产品的时候就把美股安全企业打了个遍。这次宣布使用其 Claude Opus 4.6 模型在短短两周内发现了 Firefox 中的 22 个漏洞，14 个高危，占到了 2025 年全年修复的高危漏洞总数的近五分之一。

目前 Mozilla 给这些漏洞发了 22 个 CVE 编号。前几天公告出来的时候就在研究员社区产生一些骚动，纷纷讨论是不是 llm 做的。总算官宣了。

OpenAI 的 Codex Security 则以巨量的开源项目作为实验对象，30 天内扫描了 120 万个提交，精准锁定 792 个严重级别漏洞。

OpenClaw 的作者也说自己深度参与了这个项目。Codex Security 面向企业版、团队版及教育版用户开放。开源项目维护者可申请免费额度，预览版首月免费。

A41:（https://openai.com/index/codex-security-now-in-research-preview/）你对AI代码审计怎么看？首先我认可AI做代码审计的能力。但我拍脑袋乱想了2个问题：

除了开源项目，谁又愿意把自己的代码，特别是公司的项目的代码全部都传到云上去给AI审计？
一个软件的代码动不动十万行，百万行的，这tmd怎么算token啊？

A42:这不是私有化算力的事，这是模型私有化的事，目前这肯定不是AI做代码审计的主流方式。还没有哪个做得不错的代码安全审计模型允许私有化部署吧？都是云服务。

A43:我们内部也存在这种争议，借鉴思路用cc做代码审计，效果很好，而且它还主动做poc验证，把白盒检出与黑盒验证给闭环了，但是这个模型比互联网的差距多少是算力导致的，多少是智能体导致的，还难以衡量，更难以抉择的是要不要加大投入，可能投入2个月后就有开源产品碾压全部白费了。

A44:目前在中国有多少公司能给把算力偷给安全的？极少极少吧。

Q2：现在代码可以由AI快速生成，代码是不是还应该圈在内网来保护？

A1:AI生成功能是没问题的，git上大把，但高并发，异常处理，竞争逻辑，还没人能用AI生成的直接搞定，生产故障他还处理得少。

A2:作为安全人，我认为要，屁股决定脑袋。

A3:我遇到几个解决方案确实都是私有化蒸馏模型，来解决隐私问题，效果吧，目测肯定比这些公开商业化的弱。

理解安全人的屁股，但圈在里面算力不够、能力不够、迭代跟不上啊。未来是不是大量的代码都可以算胶水代码，只有极少量的核心才值得特别对待？

A4:网上说就算把淘宝的代码给你，你也搭不出一个淘宝，这个道理从市场角度来说是对的。但一来电商不会把自己监控运行的代码给你，二来为了防止你挖漏洞也不会给实际运行代码。

A5:这里的“淘宝”本质就是被替换成了git上已有的胶水代码。产品=代码+运营+品牌。

A6:淘宝代码给我，至少我不会是想着去重建一个淘宝。我能做的事可多了。如果全面推行AI自动补全代码、AI代码审计云服务，那么监控运行的代码一样有可能泄露。

A7:这里的本质是说，即使代码是胶水代码，怎么粘的逻辑、算法也是隐秘的。现代我相信功能和前端已经完全可替代了。

A8:分类分级分层对待也许是一个方向，但只是也许吧？私有化模型可能才是目前的主流。至少我们是安全人，屁股在安全，说句那啥的话，开发效率低，代码质量差会间接打我们板子，但代码泄露可能会直接打我们板子。

A9:不用打了，直接要求开发用cc生成安全的、质量高的代码，从一句话需求，丰富确认完整需求，编写代码，安全检查，编写自测，AI不是都能做吗，那你就直接搞定一步到位，QA和安全的检测标准不变，AI要帮助研发提高覆盖率、通过率，解放人力。在这里，AI成了安全的助力。

A10:去年我们搞了个劳动技能大赛，很多部门都在吹大模型的功绩，当时总裁就点评了一句，那你们的HC是不是可以按一按了，令人笑容消失。现在看，当时吹的东西，还真能实现了，这个趋势大家都感受得到。

Q3：不妨讨论一下这个话题呢……有一种说法是，AI提高了员工效率的同时，不一定为企业创造了财务收益，只是员工更快交付工作了。如果不裁员，企业的财务收益不好体现。

A1:我认为有两方面：

不减员，但原来原本受限于人力无法开展的精细化安全治理或一些技术预研（比如AI自身安全）
精简，ai驱动组织改进：更少的人，干同样的产出，利润率肯定上去了

A2:增益其所不能，安全leader可以人，但是ceo和cfo不一定care。非安全线主管还是本能希望看到公司的分母减小。

A3:听到一种说法，说是Gartner的一个调研报告提到AI在提升员工工作效率的时候，只是提高了员工的个人效率，但没有为企业提升财务收益，关于这个观点你怎么看？

A4:如果企业都裁员，也没有了消费，企业的效益也不一定好。AI短期发展的效果是先采用的组织有效率优势，长期发展的效果就是挤出劳动力，全社会企业的平均财务效益不会增加。

以后劳动不再是社会生产的需要，而是个人兴趣、成就的需要。趋势大潮面前，所有人只能往前跑。AI再发展，看样子只能是共产主义分配机制才能解决问题。

A5:比如客服，安全运营，业务bp这些就是对象，安全的价值往往体现在没发生，财务价值是少了什么成本。

A6:像我们这种企业，原来有很多需求是做不了的，现在可以做了。还有的企业，是需求跟不上研发了……那样一定会触发裁员的。

如果员工变快了，但公司没变富，那只能说明原本做的就是无效需求。它不该如此。要知道用AI是很贵的，如果成本增加了百分之几十(不管是买卡还是买电)，公司没变富，这是不可接受的。

A7:感觉大模型带来的劳动转移（现有岗位减员）是必然，技术进步必然伴生的春秋战国时期，铁制农具的出现和广泛使用，大量农民释放出来成为军人，促使了大一统。

欧洲工业科技突破，大量劳动力释放出来，进行全球殖民。现在AI带来的生产力全面提升，感觉释放的人力只能通过星际探索和移民去消化。

A8:对社会下来这一段的发展情况，有点悲观，先进的生产力都挡不住的（你不发展、你的对手也会大力发展，到时候会被降维打击）那么多人被释放出来，很长的一段时间内是不是社会还能稳定发展不。

A9:这个我没想明白，生产力提升后，物价应该降？广大人民工资提高不了，但购买力要提升？

A10:我会觉得，难道业务平时是干得完的么……按理说搞得更快了，但是活其实是做不完的才对。以前干不完，也就过来了，没啥大事，说明不都是必须要干的。除非能带来财务价值。

A11:像安全类的工作，太多本应该做，因为资源不够妥协了只做了一丢丢，大家都是知道很多安全问题一直在。

A12:就拿最近的龙虾焦虑，本地化部署的龙虾，因为所有的权限都给龙虾，龙虾才强大，要正儿八经的加固，非常费力，还不一定能干得好，现在火爆的大规模安装应用，都在等看啥时候再出大事……

A13:不会真有人往生产上搞吧，搞搞个人环境了不得了。

A14:真有，我们公司，挡都挡不住那种。

A15:做好备份吧，其它也说不了啥了。

A16:公网暴露6万多个，已收录漏洞245个。

《当 AI Agent 拥有系统权限：OpenClaw 安全风险全景分析》

A17:个人电脑，无公网IP，也一样危险呀。那么多skill里面暗藏玄机，随便下载安装一个组件的供应链风险也大概率存在。提示词注入，数据外发到什么大模型……

A18:问题是龙虾这种生产模式一定会慢慢进入业务环境的。

A19:两个团队是竞争关系，A团队大力鼓励使用各种AI新工具、B团队因为担心安全问题不鼓励使用各。按照当前的情况，大概率A团队会把B团队卷死，类推到两个公司竞争、两个国家竞争，应该都一样。

A20:以及授权后的凭证混用，被别人调戏。龙虾们现在还有自己的学校，去学校以后，也不知道会不会学坏了回来。反正大木马，继承自己的权限，又快又危险……

A21:挡不住，春节后都是这种业务需求，比如数据分析团队希望，用龙虾接数据库，一句话龙虾自己给出数据分析结果，但我给了一大堆权限怎么设计，你不需要龙虾啥的。最后业务说我本来不用开发，你这么搞要开发这么多东西，还让不让用。

A22:没法不让用，只能说你用工具不能绕过公司原本的变更控制，不审核让龙虾控制生产造成损失了你负责，你把数据离线复制一份，龙虾爱咋分析咋分析，你让龙虾直接接管生产数据，破坏了你恢复呗。

A23:AI有个方面不能代替人，就是承担责任。

A24:哈哈，人类的背锅属性无可替代。

A25:法院认为，人工智能不具有民事主体资格，不能作出意思表示。

《“如果生成内容有误，我将赔偿您10万元”，全国首例因“AI幻觉”引发侵权案宣判》

A26:AI技术实现的是脑力解放。上一次工业革命实现人类体力解放，机器/电器，可以让你坐汽车/用洗衣机，人的生命不再需要浪费在重复体力了，一台机器干你10个人的活。

而AI，让知识本身变得容易获取了，你出生，苦学26年，大学毕业，学到的xx论，思维训练，对AI来说，只是多一点点参数的罢了。

它有点像”电”这种的技术和科技重构，你环顾一圈，今天人严重依赖于电力，没电根本活不了。但我认为至少眼下，它远远比不上”电”。

A27:以后出个AI电子签，授权AI可以承诺担责。

0x2 群友分享

【安全管理】

《OpenClaw智能体系统安全风险揭示及治理建议（一）》

《OpenClaw智能体系统安全风险揭示及治理建议（二）》

《企业级部署“龙虾”OpenClaw安全防护和基线配置》

【漏洞管理】

《人工智能重要安全漏洞的通报-openclaw多个安全漏洞》

【安全资讯】

《一只能安装龙虾的龙虾，才是好龙虾！》

《腾讯全系“龙虾”产品矩阵来了，个人可直接调用》

《Proton 邮箱再次出卖了用户》

《券商内部，紧急提示“龙虾”风险》

《关于OpenClaw安全应用的风险提示》

《我一直在等的那场AI事故终于来了》

《胡图 | 网络黑灰产犯罪阶层式证明》

【金融业企业安全建设实践群】和【企业安全建设实践群】每周讨论的精华话题会同步在本公众号推送（每周）。根据话题整理的群周报完整版——每个话题甲方朋友们的展开讨论内容——每周会上传知识星球，方便大家查阅。

往期群周报：

大模型业务隔离与公共WiFi安全合规挑战｜总第310周

AI管控的两难困境，与业务隔离下极小带宽防DDOS的现实挑战｜总第309周

《企业网络安全实务：业务防护、合规落地与供应链风险管控》｜总第308周

如何进群？

如何下载群周报完整版？

请见下图：

‍

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：君哥的体历群秘群秘《从终端沙箱到AI Agent：安全隔离的演进与安全角色的重塑｜总第311周》