“影子人工智能”不再仅仅是指员工使用未经批准的聊天机器人。如今, 影子人工智能 通常包括 未经批准的人工智能代理 以真实权限运行:仓库访问权限, CI/CD 令牌、文件读/写和消息传递 API。换句话说,影子 AI 可以像……一样运作。 影子自动化正因如此,它导致安全风险增加的速度比大多数团队预期的要快。
这就是安全漏洞所在:影子人工智能会在不改变现有控制措施的情况下扩大攻击面。例如,一个代理可以摄取不受信任的内容,执行隐藏指令,然后调用能够影响生产系统的工具。因此,风险不仅在于数据泄露,还在于…… 未经授权的行为 以机器速度执行。
如果你想要一个实用的定义,可以引用以下内容: 影子人工智能是指任何未经监管而使用的人工智能能力,它可以访问敏感数据或触发实际行动。 因此,正确的应对措施并非“禁止人工智能”。相反,你需要可见性、最小权限原则、技能治理和工具调用审计来控制影子人工智能,同时又不影响交付速度。
什么是影子人工智能?
影子人工智能是指使用人工智能工具、模型或代理工作流程。 未经正式批准、监督或监管 由 IT 或安全部门负责。这包括未经授权的聊天机器人、浏览器扩展程序、IDE 辅助程序以及连接到本地或托管代理的程序。 enterprise 工具。更重要的是,影子人工智能会在数据处理、访问控制和可审计性方面造成盲点。因此,它可能将日常的开发人员活动转化为安全和合规风险。
影子人工智能 vs 影子信息技术 vs 智能影子人工智能
影子人工智能与影子信息技术有所重叠,但其运作方式有所不同。最重要的是,人工智能系统可以 从输入中学习 以及 规模cis离子同时,代理人也可以 执行动作 通过工具和令牌。因此,团队需要更清晰地了解他们所防守的内容。
| 维度 | 影子IT | 影子人工智能 | 智能影子人工智能 |
|---|---|---|---|
| 它是什么 | 未经批准的软件或服务 | 未经批准的人工智能工具被用于工作 | 未经批准的人工智能代理可以调用工具并执行操作 |
| 典型示例 | 未经授权的SaaS、插件、脚本 | 个人聊天机器人或人工智能编辑器与公司数据结合使用 | 代理已连接到存储库, CI/CD电子邮件、工单、云 API |
| 主要风险 | 数据泄露、合规性漏洞、访问管理不善 | 数据泄露、策略绕过、未跟踪的模型使用情况 | 未经授权的操作、权限滥用、工具驱动的数据泄露 |
| 风险速度 | 中 | 快速 | 速度非常快(自动化+凭证) |
| 攻击路径 | 凭证滥用、不安全的配置、OAuth滥用 | 提示注入、敏感提示日志记录、数据保留问题 | 工具注入、技能供应链、浏览器到本地的接管、代币转换 |
| 可见性挑战 | 影子应用和未知供应商 | 未知的人工智能使用情况 + 不清晰的数据流 | 未知的人工智能使用情况 + 隐藏的工具调用 + 不明确的归因 |
| 第一控制 | SaaS 发现 + 访问治理 | 已批准的人工智能目录 + 编辑规则 + 日志记录 | 代理清单 + 最小权限 + 工具调用日志记录 |
| “好”是什么样子的 | 已批准的目录、单点登录、日志记录、供应商审核 | 已批准的人工智能目录、保留控制、安全数据处理 | 已批准的代理运行时、已允许的技能列表、已限定范围的令牌、已审计的操作 |
为什么 OpenClaw 代理风险对 DevSecOps 至关重要
OpenClaw代理的风险之所以重要,是因为代理将安全模型从“数据输入,文本输出”改变为 数据输入,操作输出。 在 影子人工智能 这意味着单个开发人员可以运行一个不受控制的代理程序,该程序可以连接到代码仓库。 CI/CD云 API 和消息传递工具。因此,影子 AI 变成了 使用凭证进行影子自动化.
这种转变打破了常见的假设。例如,团队通常认为“本地代理”风险很低,因为它们运行在笔记本电脑上或绑定到本地主机。然而,最近的 OpenClaw 事件表明…… 浏览器可以成为桥梁。即使在“仅限本地”的设置中,令牌也可能被泄露,工具网关也可能被接管。
简而言之,一旦代理能够调用工具,你的威胁模型就必须包含以下内容。 代币盗窃、工具调用滥用、技能供应链破坏和间接注入否则,你将错过影子人工智能中最危险的部分。
已确认的最严重的 OpenClaw 事件
1) CVE-2026-25253 — 通过恶意链接实现一键接管/远程代码执行路径
影响: 最大(高可能性 + 高影响)
它实现了哪些功能(高层次):
- OpenClaw 可能会获得
gatewayUrl从查询字符串中自动打开 WebSocket 连接,无需提示。 发送令牌值 在这个过程中。 - 这种令牌暴露可以实现 网关接管 以及下游滥用行为,具体取决于权限和配置。
严重之处:
它将“点击链接”变成了“代理工具链妥协”,而这正是影子人工智能的由来。 使用凭证进行影子自动化.
2) ClawJacked——网站访问→本地主机WebSocket暴力破解→完全代理劫持
影响: 非常高(静默+可扩展模式)
它实现了哪些功能(高层次):
恶意网站可能会打开一个 WebSocket 连接。 本地 并以 OpenClaw 的本地服务为目标。
如果采用弱密码认证,攻击者可以通过暴力破解密码来获取可信访问权限,从而实现安全防护。 完全控制 代理实例。
严重之处:
它打破了“本地主机是安全的”这一假设。实际上, 浏览器成为了桥梁。所以,“仅限本地”并不是一个真正的界限。
3)技能生态系统滥用:ToxicSkills + 恶意 ClawHub 技能(代理技能供应链)
影响: 高到最大值(规模+持久性)
它实现了哪些功能(高层次):
恶意或易受攻击 技能 可以像依赖项一样运行:从市场安装,独立更新,并且通常与……一起运行 代理级权限.
独立研究分析 3,984 发现的代理技能 13.4%(534) 至少存在一个关键问题,包括 恶意软件分发、提示注入和泄露的秘密.
真实的例子 展示攻击者如何利用加密主题的“技能”通过社会工程和混淆命令来推送恶意软件或窃取敏感数据。
严重之处:
这是供应链风险,但对于代理人而言:一项“技能”可以继承代理人读取文件、访问机密信息或执行工具操作的能力。
| 事件 | 攻击类型 | 用户互动 | 主要后果 | 来源 |
|---|---|---|---|---|
| CVE-2026-25253 | 恶意链接 → 查询字符串 gatewayUrl → 代币泄露 → 网关劫持/远程代码执行路径 |
一键式(UI:R) | 网关被攻破;根据权限,可能在下游执行操作。 |
内华达州 (NIST) INCIBE-CERT 黑客新闻 |
| ClawJacked | 路过式网站攻击 → 本地主机 WebSocket → 暴力破解 → 代理劫持 | 访问网站 | 完全接管本地代理;日志/配置/数据访问 |
绿洲安全 TechRadar 黑客新闻 |
| ToxicSkills / 恶意 ClawHub 技能 | 技能市场即供应链(恶意软件、注入、机密信息泄露) | 变量(安装/使用技能) | 通过继承权限和恶意技能行为实现代理级入侵 |
汤姆的硬件 黑客新闻 |
用例:利用 DevSecOps 工作流程降低 OpenClaw 式影子 AI 风险
OpenClaw 是一个很有用的案例研究,因为它展示了如何 影子人工智能 成为真正的运营风险:代理“本地”运行,连接到存储库, pipeline突然之间,一次浏览器访问、一个令牌或一项第三方技能都可能演变成一次控制。我们的目标并非禁止代理,而是确保代理驱动的工作流程遵循您已经信任的代码和供应链控制机制。
第一步:将代理“技能”视为依赖项,而不是无害的附加组件。
大多数影子人工智能事件并非始于复杂的漏洞利用,而是始于应用:开发者安装一个代理程序,添加一些技能,并授予其权限,“使其能够正常运行”。从那时起,代理程序生态系统就像软件包生态系统一样运作:技能更新,辅助脚本出现,不受信任的代码可以悄无声息地入侵。
所以第一步是转变思维方式: 任何代理商能够安装或执行的程序都属于您的供应链。。 在 Xygeni 工作流程这意味着你不会等到安全漏洞报告发布才采取行动。你会更早地关注组件存在风险或恶意行为的迹象,从而在恶意组件扩散到代码库和开发者机器之前就阻止其被采用。
实践中发生了哪些变化
- 团队停止未经审核就复制粘贴“可用的代理配置”。
- 新技能和辅助软件包被视为依赖项,而不是个人工具。
步骤 2:即使是代理人编写的更改,也要将 PR 作为控制点。
代理会加速变革,这是关键所在。然而,OpenClaw 的案例表明,一旦涉及到令牌和工具网关,“微小的改变”就会迅速演变成安全事件。因此,仅仅依靠“开发者的谨慎”是不够的。
相反,将代理输出路由到 pull requests 并在提交 PR 时强制执行扫描。这样,即使代理提出依赖项增加、构建脚本调整或 CI 工作流编辑,PR 也成为应用策略的关键节点。Xygeni 非常适合这种情况,因为它…… 为 CI/CD 以及公关工作流程这样,有风险的变更就能在合并之前被发现。
您希望实现的典型代理驱动变更受控
- 依赖项升级和锁定文件变更
- 构建脚本并安装 hooks
- CI 工作流程编辑(权限、密钥使用、网络调用)
- 以提升权限运行的新自动化步骤
步骤 3:优先考虑攻击者会使用的东西,而不仅仅是扫描器发现的东西。
影子人工智能(Shadow AI)导致工作量激增。自动化程度越高,依赖关系漂移就越频繁,配置变更也越多,每周的“小改动”也越多。因此,除非优先级排序与实际可利用性相符,否则团队可能会被大量的发现淹没。
这就是漏洞利用上下文的重要性所在。如果一个漏洞可能被利用而另一个漏洞则不太可能,那么你的工作流程就应该体现这种差异。Xygeni 的 优先排序方法 其设计初衷正是为了应对这种情况:通过集中精力进行补救,减少噪音,重点关注实践中最可能产生影响的方面。
一条可缩放的简单规则
- 阻止或加快解决那些实际风险最高的问题。
- 延迟低信号噪声检测,以便工程师能够安全发货。
第四步:停止假设“localhost 是安全的”
ClawJacked 事件之所以能给我们敲响警钟,是因为它挑战了许多团队仍然抱有的一个假设:“只要是本地的,就没问题。” 事实上,本地网关和本地用户界面仍然需要生产级的考量。浏览器也是威胁面的一部分,“仅限本地”并非可以依赖的边界。
所以,你需要像加固任何敏感接口一样加固本地服务:
- 强身份验证(不仅仅是人为选择的密码)
- 速率限制和锁定
- 不支持信任未经验证输入的自动连接行为
- 限制谁可以连接以及从哪里连接。
虽然 Xygeni 不是本地主机防火墙,但它通过将强制执行转移到本地主机,有助于降低“本地绕过”模式的实际影响。 pipeline 以及平台。当控件存在于 CI/CD 以及 安全态势策略影子人工智能不太可能绕过它们,“因为它是本地的”。
第五步:注意是否存在疑似供应链滥用行为的异常情况。
OpenClaw 类型的事件通常具有一个共同的故障模式:某些东西悄然发生变化,然后工作流程开始出现异常。这就是为什么关注异常情况的信号至关重要。如果某个环境突然开始拉取不寻常的依赖项、快速发布版本,或者出现与供应链滥用相符的模式,就需要尽早发出警报。
Xygeni的异常检测 早期预警框架与该目标相一致:及早发现可疑模式,防止其在团队中反复发生。
值得关注的信号
- 仓库间依赖关系变更的突然激增
- 声望值低或更新模式异常的新技能包/技能
- 意外的持续集成步骤会下载运行时环境或执行脚本
- 来自构建上下文的异常网络调用
外卖
这种工作流程并非刻意针对特定代理。它是一种适用于大规模影子人工智能的DevSecOps模式:将技能视为依赖项,在PR/CI阶段进行变更审查,优先考虑可利用漏洞,默认情况下停止信任本地主机,并尽早检测异常供应链行为。这就是降低风险的方法。 影子人工智能 承担风险,但不会减慢交付速度。
影子人工智能安全:这对DevSecOps团队意味着什么
影子人工智能不再是次要问题。到2026年,它越来越意味着…… 拥有真实权限的代理这使得简单的错误演变成工具驱动的事故。OpenClaw 就是最清晰的例证:风险不仅在于模型“说”的是什么,还在于代理能做什么。 do 通过代币、网关和技能。
因此,最有效的应对措施是务实的,而非理论性的。将代理技能视为依赖关系,通过公关手段路由代理输出,并且 CI/CD guardrails并且不要再想当然地认为“本地主机是安全的”。同时,要优先考虑真正可被利用的漏洞,这样团队才能在不被各种干扰信息淹没的情况下持续发布产品。
归根结底,你不需要封禁代理人就能控制局面。 影子人工智能安全你需要确保代理驱动的工作流不会绕过现有的供应链和交付控制措施,这些措施已经保护了你的软件生命周期。
