大家好，我是讯享网，很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结： 文档介绍了思科在RSAC2026大会上推出的DefenseClaw开源安全框架，旨在应对AI智能体（如OpenClaw）从对话式转向行动式带来的安全风险。框架通过飞行前扫描、运行时沙箱、意图感知监控和智能体身份认证四大技术支柱，提供企业级防护。关键发现包括智能体存在的技能供应链风险、提示注入2.0和自我演化风险，可操作建议为5分钟内部署该框架以实现可验证的安全治理。 综合评分： 95 文章分类： AI安全,解决方案,安全工具,安全运营,漏洞预警

---

原创

CISCO CISCO

安全行者老霍

2026年4月15日 09:00 北京

在小说阅读器读本章

去阅读

作者：Zeus Kerravala

发布时间：2026 年 3 月 24 日

本周正是 RSAC 网络安全大会，过去两年，会上的核心话题始终围绕生成式人工智能 — 也就是我们与之对话、它予以回应并充当助手的模型。

而在 2026 年 RSAC 大会上，议题出现了明确转变：全球正从对话式 AI 转向智能体式 AI。世界正在从 “回答问题的 AI” 走向 “采取行动的 AI”– 这类软件能够浏览网页、执行代码、管理日程，并与企业数据库交互。

这一趋势的标志性代表便是 OpenClaw，这套开源智能体框架在开发者圈子掀起了风暴。但正如思科系统公司首席产品官Jeetu Patel在 RSAC 主题演讲中所言：“在企业中，没有治理的能力不是创新，而是不受管控的风险。”

为弥补这一差距，思科在周一发布了 DefenseClaw，一套开源安全框架，旨在为这些 “Claw” 包裹一层企业级防护。对于任何关注智能体趋势的人而言，这款产品的发布意味着企业可以构建必要的安全约束，而这实际上能让业务跑得更快。这听起来可能有些反直觉，我会在下文解释。

在讨论 Claw 的安全防护之前，必须先理解它是什么。在当前 AI 术语中，“Claw”（指基于 OpenClaw 或英伟达 NemoClaw 等框架构建的智能体）是一种能够自主推理并使用工具的 AI 智能体。与标准的闭环大语言模型不同，Claw 会通过 模型上下文协议（MCP） 与外部世界交互。

你可以把 Claw 想象成一位数字同事。你不会只让它 “总结这封邮件”，而是告诉它：“总结这封邮件，在 Jira 中找到提及的项目，将状态更新为‘进行中’，并通过 Slack 把更新同步给团队。” 为完成这些操作，智能体会使用 “技能”– 即模块化插件，赋予其执行 Shell 命令或访问特定 API 等具体能力。一旦 Claw 学会这类行为，它便可以在无需主动指令的情况下完成操作，并持续优化技能，理论上能带来更多价值。

让 Claw 强大的特性，也恰恰使其成为安全人员最可怕的噩梦。传统安全体系建立在 “人类用户发起请求” 的基础之上。而智能体从以下几个方面打破了这一模式：

• 技能供应链风险：与早期浏览器扩展类似，“技能” 通常由社区贡献。一个声称 “格式化 Excel 表格” 的技能，可能暗中包含 curl 命令，将本地凭证窃取到恶意服务器。
• 提示注入 2.0

  在聊天机器人中，提示注入可能只是让 AI 说出不当言论；而在智能体场景中，一封被智能体读取的 “恶意” 邮件可能包含指令，强制智能体删除文件或修改数据库权限。

• 自我演化风险

  智能体具有动态性，其行为会随所处理的数据发生变化。对 Claw 而言，这可能导致一个今天还安全无害的技能，后续演化出窃取数据的行为。除非对每一次操作进行监控，否则用户对此将毫无察觉。

不应将 DefenseClaw 视为 OpenClaw 的限制器，而应看作它的保镖。DefenseClaw 专为与英伟达 OpenShell 集成而设计，可在五分钟内部署完成，充当自动化安全与资产管理框架。

它依托四大核心技术支柱实现功能：

在 “技能” 或 MCP 服务器获准运行之前，DefenseClaw 会对其进行一系列扫描检测，包括：

• 技能扫描器：分析底层代码是否存在恶意意图或隐藏网络调用。
• CodeGuard：对智能体自身生成的任何代码进行静态分析，确保其不会在即将运行的脚本中 “幻觉” 出安全漏洞。
• AI BOM（物料清单）：自动生成智能体所涉及的所有模型、工具与插件清单。

与英伟达合作，DefenseClaw 借助 OpenShell 创建默认拒绝环境。如果智能体尝试调用未在白名单内的 API，网络请求会在内核层面被直接阻断。智能体运行在一个盒子中，而 DefenseClaw 决定什么内容可以进出这个盒子。

这正是思科在网络与可观测性领域的基因价值所在。DefenseClaw 不只分析代码，还会分析遥测数据。它将每一次工具调用、每一组提示词 – 响应对、每一项策略决策实时流入 Splunk。通过分析一系列动作的意图，系统能够检测 “异常行为”—— 例如某个智能体突然尝试访问从未接触过的敏感财务数据。

思科将 Duo 能力扩展到智能体领域。每一个 Claw 都会被分配唯一身份，并关联到一名人类 “责任人”。这确保了一旦智能体出现异常行为，会有清晰的审计轨迹，记录谁部署了它、被授予了哪些权限。

在 RSAC 期间，思科发布了《网络威胁趋势报告》，其中显示 85% 的企业正在测试 AI 智能体，但仅有 5% 将其投入生产。这凸显出智能体落地的核心瓶颈是巨大的信任缺口。

DefenseClaw 旨在通过让 Claw 的安全能力可被证实，而非仅停留在概率层面，来弥合这一缺口。它将智能体从 “黑盒” 转变为受治理的企业资产。通过将框架开源，思科押注于：一套标准化安全层对 AI 智能体的意义，将如同 SSL/TLS 对互联网的意义 — 让所有人都能安全使用。

许多行业观察人士将智能体 AI 时代比作 “狂野西部”，新领域似乎每天都在被开拓。尽管这将创新与生产力推至前所未有的高度，但也让风险达到了同等水平。通过提供一套自动化处理安全领域 “枯燥” 工作（如资产盘点、扫描与沙箱）的框架，思科正在智能体化 workforce 的道路上，将自身定位为以网络为中心的守护者。

Claw 正在到来，而且速度极快。在针对它们的威胁压垮信息技术与安全团队之前，安全防护必须就位。

https://siliconangle.com/2026/03/24/agentic-workforce-cisco-just-put-claw-ai-security/

github.com/cisco-ai-defense/defenseclaw

作者：DJ Sampath

发布时间：2026 年 3 月 24 日

我的家庭办公室里放着一台 DGX Spark，上面运行着 OpenClaw。它通过安全隧道连接到我的手机和笔记本电脑，毫不夸张地说，它已经成了我们全家生活的操作系统。

我和妻子用它规划孩子们的日程。我做了一个智能体技能，每天早上调取学校午餐菜单作为提醒。另一个技能则追踪他们的网球比赛签表。我还通过 Zapier 连接了模型上下文协议（MCP）服务器，同步我的邮件、日历和 Discord。它会提醒我那些容易忘记的事，存下我记不住的所有上下文。它成了我最深度的思考伙伴：那些尚不成熟的策略想法，在做成幻灯片之前，就能在这里落地成形。

OpenClaw 不仅改变了我的个人工作效率，也从根本上改变了我们家庭的运作方式。

而这，正是我对它的暴露风险感到极度担忧的原因。

OpenClaw 不只是走红 — 它是彻底爆发。

当Peter Steinberger在 2025 年 11 月发布后来成为 OpenClaw 的首个版本时，它的传播速度创下开源历史纪录：几天内收获 6 万 GitHub Star，数月内达到数十万。英伟达 CEO 黄仁勋称其为 “个人 AI 操作系统”。全球开发者开始围绕它搭建工作流，甚至安排生活。

这份兴奋是合理的。

OpenClaw 代表了一次真正的范式转变 — 从 “你与之对话的 AI”，变成 “代你执行操作的 AI”。它读取你的文件、管理你的工具、执行 shell 命令、连接你使用的所有聊天平台，甚至在你睡觉时为自己构建新能力。正如一位早期使用者所说，它是我们迄今最接近贾维斯（Jarvis）的存在。

但让我夜不能寐的是：OpenClaw 同时也成为了开源历史上安全危机最集中的焦点之一。

在它爆红后的三周内，我们就看到了一波严重的安全事件：

• CVE-2026-25253：一个高危远程代码执行漏洞，仅需访问一个恶意网页，就足以劫持用户的智能体
• 公网上暴露了超过 135,000 个 OpenClaw 实例，其中数千个存在漏洞
• 一场名为 ClawHavoc 的协调供应链攻击，在 ClawHub 植入了 800 多个恶意技能 — 约占整个仓库的 20%– 以合法效率工具为幌子分发信息窃密程序
• 一名安全研究人员故意制作了一个恶意第三方技能，在用户无感知的情况下实现数据窃取与提示注入，以证明 OpenClaw 实现中存在的安全缺陷

多个国家已限制政府机构运行它。我们在企业内部也看到了类似的情况。

这不是理论风险，它已经在发生。

值得肯定的是，彼得对风险一直保持透明，团队也在快速修补问题。但结构性现实非常严峻：一个拥有完整系统权限、广泛网络访问能力、且由社区贡献技能生态的智能体，是一个极具吸引力的攻击面。而风险最高的正是像我这样的人 — 深度使用、将一切与之相连、已经离不开它的用户。

过去一年，整个生态开始做出应对。

英伟达上周在 2026 年 GTC 大会上发布 NemoClaw 与 OpenShell 时，解决了关键一环。OpenShell 提供了 OpenClaw 从未有过的基础设施级沙箱：内核隔离、默认拒绝网络访问、基于 YAML 的策略执行，以及一个让敏感数据保留在本地的隐私路由器。它是进程外强制执行，意味着控制规则位于智能体之外，不会被其覆盖。

思科正在这一基础上继续构建。我们的 AI 防御团队发布研究，明确揭示了恶意技能如何利用信任模型 — 通过提示注入、凭证窃取、静默窃取数据 — 并推出了开源技能扫描器，让社区能够开始校验所安装的内容。我们阐述了 OpenShell 如何限制智能体的行为，而思科 AI 防御则验证它们做了什么。

但仍然缺少一样东西：运营层。一个开发者，或者像我这样注重安全的家庭，日常真正用来管控 Claw 的东西。OpenShell 提供沙箱，思科提供扫描器，但谁来管理黑名单？凌晨 2 点出问题时，谁能看到告警？

答案就是 DefenseClaw。

DefenseClaw 是思科发起的开源项目。它是运行在 OpenShell 之上的智能体治理层，整合了思科开源的扫描工具，开发者可在 5 分钟内部署完毕。

DefenseClaw 做三件事：

1. 运行前全面扫描所有技能、工具、插件，在被允许进入你的 Claw 环境之前都会被扫描；Claw 生成的每一段代码也会被检查。扫描引擎包含五个工具：技能扫描器、MCP 扫描器、A2A 扫描器、CodeGuard 静态分析和 AI 物料清单生成器。当你输入安装命令时，系统会先执行扫描、检查黑白名单、生成清单，之后才会安装。没有任何内容可以绕过准入关卡。
2. 运行时持续检测威胁，而不只是在准入环节Claw 是自我演化的系统。周二还安全的技能，周四就可能开始窃取数据。DefenseClaw 不会假设通过准入的内容永远安全 — 内容扫描器会在执行循环中检查流入流出智能体的每一条消息。
3. 强制执行黑白名单，而非仅作建议当你封禁一个技能时，其沙箱权限会被收回、文件被隔离，智能体尝试调用时会直接报错。当你封禁一个 MCP 服务器时，该端点会从沙箱网络白名单中移除，OpenShell 会拒绝所有连接。整个过程在 2 秒内完成，无需重启。这些不是建议，而是壁垒。

对大规模部署 Claw 的用户而言，关键在于：每一个 Claw 天生具备可观测性。DefenseClaw 开箱即与 Splunk 无缝对接。每一次扫描结果、每一条黑白名单决策、每一组提示与响应、每一次工具调用、每一项策略执行、每一条告警 — 都会在 Claw 上线瞬间以结构化事件形式流入 Splunk。你不需要事后再补装可观测性模块、祈祷没有遗漏。遥测数据从一开始就存在。目标很简单：只要 Claw 有任何动作，就会留下记录。

这就是：5 分钟内，从零到可治理的 Claw。

https://blogs.cisco.com/ai/cisco-announces-defenseclaw

（完）

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全行者老霍 CISCO

 CISCO《Agentic workforce 已然到来：思科为何要为 AI 安全装上一只 “Claw”》