超14万个AI智能体已经在公网上，我们需要一套系统性的安全思路

一、从一个数字说起截至2026年4月15日我国互联网暴露OpenClaw实例超14万个。数据来源中国信通院OpenClaw是2025年11月发布的全球标杆级智能体开源项目半年时间中国成为全球部署数量最多的国家。这个速度本身是好事——它意味着智能体从演示走向了生产。云服务商推出一键部署国产云上智能体集中亮相行业发展势头强劲。但信通院同一份材料里还提到几组值得注意的数字超过60%的实例部署在公有云、10%以上存在高危漏洞、上万个实例在高频访问智能体社区、600多个实例疑似已加载恶意技能。这些数字不是用来制造焦虑的。它们说明一件事智能体安全已经从未来要考虑的问题变成了现在就需要方法论的问题。二、为什么智能体安全需要新的思路如果智能体只是另一种Web应用WAF加漏洞扫描这套传统纵深防御应该够用。但智能体引入了四个传统安全模型没见过的新变量它会自主决策。智能体不是被动响应请求而是基于目标自主规划行动路径。传统的请求—响应边界模型不再完整适用。它会调用工具。每一个MCP连接、每一个API权限、每一个文件系统读写能力都是智能体能力的延伸也是攻击面的延伸。工具调用链越长越容易出现TOCTOU这类时序问题。它的接口是自然语言。这是智能体最大的卖点也是最难防御的入口——指令和数据在同一个通道里流动传统的输入校验逻辑很难直接套用提示注入因此成为新型的SQL注入。它有记忆。长期记忆、对话历史、向量库——这些都不再是无状态的一次污染可能影响后续所有交互形成持久化的攻击驻留。这四点叠加起来意味着攻击面从代码漏洞扩展到了决策漏洞。在外面加一层防护的思路不够用了安全必须嵌进智能体的每一个环节。三、解决这个问题需要什么样的框架智能体安全要回答两个问题要防什么和在哪儿防。前者让你不漏掉风险后者让你不错过时机。把这两个维度交叉起来就是一张可操作的矩阵——横轴是威胁分层纵轴是生命周期阶段。横轴把AI风险拆成可操作的清单按从底到上的依赖关系智能体面临的威胁可以分为五层第一层基础设施安全。硬件、网络、云平台的隔离与访问控制。前文60%部署在公有云、10%以上存在高危漏洞落在这一层。第二层数据与模型安全。训练数据投毒、对抗样本、模型窃取、参数泄露。典型场景是攻击者通过污染训练语料让模型在特定触发词下输出预设内容。第三层智能体行为安全。目标对齐、工具越权、奖励操纵、循环调用。600多个实例疑似已加载恶意技能落在这一层——技能生态本质上是一个供应链问题。第四层人机交互与社会安全。提示注入、深度伪造、虚假信息、用户操纵。上万实例高频访问社区带来的诱导攻击主要在这一层落地。第五层治理与合规安全。数据合规、跨境流动、可解释性要求。一个典型问题是智能体自主决策导致损失责任如何在开发者、部署方、使用者之间划分。纵轴让方法论落地到每个环节威胁清单挂在智能体生命周期的不同阶段大致可以拆成三段七环节上线前设计——制度规划与合规设计、开发与基础设施构建、数据准备与模型训练、交互接口与行为约束设计。把安全要求嵌进设计构建最小权限的可信执行环境。上线前验证——运行时执行与监控、红蓝对抗与主动攻防验证。建立可观测性、异常检测和动态熔断并通过模拟攻击持续检验防御。上线后维护——事后审计、响应与迭代。重点是溯源能力、合规报送和反馈闭环。安全投入的理由不应该是加强AI安全这样的口号而是用什么手段防什么威胁。四、行业正在形成的实践共识从云服务商视角已经有自律公约在明确责任界定、网络安全、数据安全、恶意行为防护、用户安全引导、风险信息报送六个维度的责任分工但行业共识只是起点能不能落到每家企业里还要看各自的工程化能力。回到开头那个数字。14万个智能体已经在公网上这不是要不要做安全的问题而是用什么方式跟上的问题。跟上的方式不应该是出了事再补而是用一套结构化方法论把安全嵌进智能体的每一个生命周期阶段——这也是这个系列接下来要做的事。接下来几篇我们会沿着这个框架继续展开从最受关注的几类威胁切入再逐步走进五层框架和七大生命周期环节的细节落到具体的工具、方法和案例上。