AI Day & 龙虾市集 PLUS 在3月17日火热开张……

现场很快聚起人，气氛热烈 但是在沉浸式养龙虾之前，有件事得提醒一句——

龙虾随便养，但安全别“虾”浪！

OpenClaw 爆火后，大家成为蓄谋已久的“云养虾人”，纷纷来到龙虾市集 PLUS ，体验一把 AI 发展带来的便利。

百度工程师们现场一对一帮助安装部署 OpenClaw ，演示特设 Skill 完成任务“高能场面”，甚至还有套圈龙虾、抓龙虾娃娃机、钓活龙虾活动，把“小龙虾”开心抱回家。但由于较高的系统访问权限和脆弱的默认安全配置，养龙虾容易产生安全风险。

为给大家科普 API Keys 、Token 等凭证及核心机密在龙虾中的基本概念与重要性，百度安全这次把摊位搬到了龙虾市集 PLUS 现场，面对面教大家如何识别龙虾安全隐患。

现场的安全实战工坊共有两个模块，帮助大家从意识到操作两个层面，养好用好小龙虾：

⭐️ 第一关：“小龙虾”安全意识小剧场

近期，国家网络安全通报中心与工信部等监管部门相继发布了针对 OpenClaw 开源智能体的安全风险预警与“六要六不要”防范建议。响应监管号召，百度安全在此次市集中特别设立防线。我们致力于全面提升公众与厂内同学的“安全养虾”意识，带大家看清 OpenClaw 繁荣生态背后潜藏的四大核心风险：

• 架构风险：龙虾的多层架构设计存在安全缺陷，在执行任务时可能越权操作，被绕过认证，造成数据删除、信息泄露或设备被接管

• 配置风险：龙虾默认开放公网访问且缺少认证，敏感信息可能被明文存储，易未经授权访问

• 插件风险：龙虾的部分插件技能可能包含恶意代码或加载不可信内容，存在被投毒或远程控制的风险

• 场景应用风险：在办公、运维、个人助手或金融交易等场景中，可能引发内网渗透、敏感信息泄露或错误操作，应加强隔离部署、权限控制和审计监测

没有现场参与的同学，可以线上小试牛刀，学习龙虾安全小 Tips 呦

以上场景小原则总结出简单一句话——

龙虾越火，安全这件事越不能“虾”搞！

⭐️ 第二关：“小龙虾”原生安全 Workshop

OpenClaw 不仅仅是“能聊天”，更是“能干活”的数字员工。正所谓“能力越大，风险越大”，一旦遭受恶意插件投毒或提示词注入，极易引发严重后果。百度安全专家在现场为参与者提供实机体验和答疑，让“小龙虾”拒绝“裸奔”！在专家的指导下，实际体验企业级智能体安全 Skill ——灵盾（ Agent Shield ） ，让小龙虾不只是“能用”，更要“敢用、可控地用”！在现场由专家带领参与者直击安全策略的拦截效果：

场景 1【高危操作识别与防护，防“手滑”与失控】：现场模拟触发“删除邮件”、“删除文档”等破坏性高危指令，体验系统如何精准识别风险、实时阻断并强制触发用户的二次确认流程。

场景 2【 Prompt 指令注入攻击防御，防“钓龙虾”】：揭秘恶意指令如何隐藏在内容中诱导 AI 执行。实测灵盾如何拦截角色篡改、窃密外发等越权行为。

Workshop 中大家积极体验灵盾 Skill 的强大之处，安全工程师们细心讲解，从实操体验帮大家安全使用龙虾。

龙虾市集 PLUS 收摊……

Skill 工具包装上了

安全知识也要一并打包带走‼️

如果你有关于养虾的安全困惑或者解决妙招

欢迎在评论区讨论