出品｜《态度》栏目

作者｜汉雨棣

编辑｜丁广胜

腾讯正以前所未有的战略决心拥抱OpenClaw。

3月22日，微信正式上线官方“ClawBot”插件，用户可通过扫码将OpenClaw直接接入微信聊天界面。这意味着腾讯的国民级超级入口与前沿AI智能体实现了深度融合，用户发消息即能驱动AI“动手干活”。

回顾一整个三月，腾讯全力“重仓”龙虾。3月6日，深圳腾讯门口“免费装龙虾”的活动火爆全网，3月11日，马化腾在朋友圈首次系统披露了“龙虾”产品矩阵，包括自研虾、本地虾（QClaw）、云端虾（Lighthouse）、企业虾（WorkBuddy）等，被市场视为全面发力的明确信号。次日，腾讯推出OpenClaw安全工具箱，并回应了SkillHub社区的数据抓取争议，事件以腾讯成为社区官方赞助商告终。3月14日，腾讯云宣布启动覆盖全国17个城市的OpenClaw免费安装巡游计划。3月18日的财报媒体沟通会上，总裁刘炽平确认2026年对混元、元宝等新AI产品的投入将至少翻倍，并透露正规划在微信内打造深度联通的专属AI智能体。

腾讯在AI Agent赛道的布局正从单点工具转向全栈基础设施。继接连接入OpenClaw后，腾讯正加速构建覆盖"底层接入-企业治理-安全防护"的完整"龙虾"生态，试图在智能体时代抢占B端入口。

近日，腾讯云安全团队与网易《态度》栏目等媒体就“养虾安全”展开对话，指出在 Agent 时代，企业安全防线的重心须向“最小权限管控、动态零信任与沙箱隔离”全面转移。

腾讯的逻辑很清晰：当Token价格注定如水电般下行时，谁能解决"AI越权操作""API密钥泄露""上下文数据泄密"等治理痛点，谁就能掌握企业级Agent的基础设施话语权。

在Agent从"辅助工具"进化为"自动化执行者"的临界点，安全不再是成本项，而是决定规模化落地的核心基建。

以下为对话实录，经不改变原意的改编：

提问：行业内有一种新观点：未来系统和工具也许不再是由人来使用，而是由AI来操作。在这种底层逻辑改变的情况下，我们的安全防范思路和产品逻辑需要发生哪些转变？

腾讯云安全副总经理、AI Agent安全中心负责人谢奕智：过去工具和软件有丰富的UI界面供人使用，但在AI Agent时代，Agent为了最高效地完成目的，最擅长的反而是调用API和传统的命令行工具 。因此，未来的防范重点在于，当我们把API密钥和命令行权限赋予Agent时，需要基于工作目的同时对密钥的权限进行精准设置 。

腾讯iOA产品运营负责人刘登峰：终端层面的安全防护会面临三个维度的巨大差异：

第一，过去做安全盯的是“用户是谁、能干什么、不能干什么”。现在我们需要盯“AI Agent在替谁行动、具备什么能力、执行动作有无偏离原始意图”。产品设计层面提出了更精细化的要求，因为人可以访问的权限，调用AI时不一定能访问。

第二，过去主要防范终端和办公网被黑客入侵，现在还要防“越权使用”。Agent即使在内网有授权，如果授权过高，它在执行派发任务的中途可能会去干别的事情，导致边界失控且难以察觉 。安全建设重心必须转向“最小权限、动态控制以及高风险动作的二次确认”，这是零信任场景在Agent时代的进一步延伸。

第三，过去终端安全侧重于防中毒、防控制、防勒索 。现在即使设备未被攻破，像OpenClaw这样具备联网权限的Agent，在“读、写、总结、生成、联动”的过程中会接触大量上下文 。我们要保护的不只是终端，更是“哪些数据可以进它的上下文，哪些结果可以复制上传”，终端的防泄密要求比过去变得更高。

腾讯电脑管家高级产品经理董京：针对“龙虾”类工具权限过大、自动化和不透明的核心痛点，主要防范措施有两点 ：

第一，改变以前在用户电脑上不存在权限过大的认知，现在重点防范AI权限过大，通过权限和沙箱机制将其管控起来 。

第二，防止AI因为自动化执行而做了用户不知道的事情。通过技术手段做拦截，让它的所有行为清清楚楚、明明白白地告诉用户，以便于轻松管控。

提问：刚才提到QClaw和OpenClaw的工作方式不太一样。国内现在有多种不同的Agent产品，它们在工作方式和潜在风险上有什么差异？

刘登峰：在安装与运行形式上， QClaw等国内产品通常有独立的软件安装包，可以通过官网下载并双击“下一步”完成安装，它们拥有独立的软件进程 。而OpenClaw有一定的安装门槛，通常通过命令行的方式安装和运行。

在拦截技术方案上， 针对有独立进程的国内“龙虾”，走进程拦截是相对不错的方案 。但对于OpenClaw，则需要把识别命令行的方式加上才能有效拦截。

但他们的本质安全风险一致。虽然由于进程不同导致调用工具的方式有细微差异，但从风险层面来看是类似的。它们都能调用浏览器访问网页，这种在终端上的本质风险是一致的，都需要做对应的拦截和检测。

董京：底层技术大同小异： 国内各种“龙虾”在安装方式上做了包装和简化，以求对普通用户更友好 。但在执行任务的技术底层上，无论是国外的OpenClaw还是国内的QClaw、WorkBuddy，都是通过Windows接口、系统级能力或写命令脚本来访问电脑资源。这正是我们提供安全防护的“插入点”。

提问：目前有哪些类型的客户在咨询Agent安全治理？他们目前是否已经推动了采购预算？在实际使用中，最关心哪些细节，是否遇到过严重的安全事故？

刘登峰：金融、能源、运营商、企业、零售等各行各业都有来咨询 。偏金融的强合规客户有明确的禁用诉求，正在协商做POC测试；偏互联网的中型客户则希望快速沟通并测试企业级安全沙箱方案 。预算进展因客户而异。

谢奕智：客户的需求很有意思。政企希望主动拥抱AI，全员发放；游戏、教育行业希望在内部做提效；Web3行业则认为其能创造增量价值，带来直接挣钱的结果。

但客户最关心的细节都集中在网络管控策略怎么做更好隔离、会不会偷走密钥、会不会误删数据 。其中最普遍的两个痛点是“密钥泄露风险”和“避免访问内网权限” 。

针对密钥问题，我们刚刚推出了密钥沙箱服务，让“龙虾”从根源上拿不到密钥 。事故现状与应对： 目前尚未出现非常严重的安全问题，客户主要是担忧“机器搞坏”，希望提供数据备份能力，以便能放手去用 。

我们给企业的建议是：1. 做好网络隔离，不开放不该访问的内网服务；2. 做好数据备份；3. 尽量不给写权限，只给只读的密钥权限 。

提问：部署Agent安全管理的成本大概占什么比例，企业能否承受？

谢奕智：安全性往往意味着成本，为了平衡体验与安全，我们通过技术手段极大降低了使用门槛 。例如，用户一键安装Skills就能享受密钥沙箱保护，也可以一键开启内网隔离功能，这极大地降低了企业保护“龙虾”的成本 。

刘登峰：目前“龙虾”发展处于早期，企业的首要驱动力是风险规避 。对于强合规客户，短期一刀切断掉访问不需要太多成本，逻辑跟买保险一样 。对于iOA老客户，已有能力的延伸是不需要额外付费的；而像Skill检测、本地沙箱等新功能会有新的费用 。未来随着国家合规要求的落地，Agent安全将成为刚需，价格也会由市场需求调节到合理水平。

提问：从广义的网络安全行业来看，近两年整体比较承压。企业在营收不佳时可能不愿在成本项上花钱，安全市场的需求是不是归根到底取决于经济大环境？

谢奕智：核心还是取决于业务基本面， 经济环境确实有一定影响，但并没有想象中那么大 。本质在于，如果客户的业务受经济周期影响较大、出现收缩，认为安全只是附带属性，那安全投入必然会减少 。但如果客户本身的业务发展依然稳定或保持增长，他们在安全这一块的预算一直是有保留和保障的。

提问：“龙虾”自身在不断迭代，我们的安全防护是只能被动跟上，还是已经有主动的规划了？

董京：安全防护分为两个相互配合的层面 ：平行的主动防御（不随版本迭代）： 我们构建的安全沙箱能力（防止乱读写文件、乱用网络、检测执行脚本），类似于造了一个“隐形的牢房”把AI关进去 。这种底层技术是平行的，不需要跟着OpenClaw的迭代而被动迭代 。动态的被动跟进（漏洞挖掘）： 我们需要随着OpenClaw自身版本的迭代，不断完善我们的漏洞检测和挖掘技术，以防范新版本产生的新漏洞 。同时，面对AI行业快速变化涌现的新技术和新“龙虾”，我们也需要不断跟进。

提问：企业在“养虾”（部署AI Agent）时也非常焦虑Token的消耗问题。目前有什么措施能帮助企业更清晰地管理Token？长期来看，Token的价格走向会是怎样的？

谢奕智：从趋势来看，Token的单价肯定是往下走的 。未来如果它能像水电一样普及，形成一定的规模，价格必然会下降，这是一个比较确定性的趋势。我们已经观察到云上“龙虾”专业版用户提出了管理需求 。因此，我们会在企业版里植入对应的管理功能，帮助企业很好地查看员工的Token消耗情况，并提供相应的限速能力。