“全面禁止”到“建安全通道”——一個(gè)CIO的Agentic AI實(shí)踐復(fù)盤

我是聯(lián)軟科技CIO牛勁。今年3月，很多客戶找我咨詢，問我們是怎么限制使用OpenClaw，有沒有相關(guān)的經(jīng)驗(yàn)和方案管控或禁止安裝OpenClaw及其同類Agentic AI工具。我們使用桌管軟件做了相應(yīng)的軟件控制。理由很充分，“OpenClaw”不是普通的聊天機(jī)器人——它能自主規(guī)劃、調(diào)用工具、執(zhí)行系統(tǒng)操作，相當(dāng)于一個(gè)不知疲倦的“數(shù)字員工”。但問題是，這個(gè)員工權(quán)限有多大、會(huì)訪問什么、會(huì)不會(huì)把客戶數(shù)據(jù)傳出去，你完全不可控。

一、封禁的本質(zhì)：把員工逼成“地下黨”

有一天我在辦公室，看到有員工拿著自己的個(gè)人電腦在使用OpenClaw。雖然我們通過技術(shù)手段控制了在公司電腦上使用這類工具，但還是有員工使用這類工具的需求。禁止了OpenClaw，還有ZeroClaw、NullClaw等XClaw。那一刻我意識(shí)到：單純封禁的問題在于，它把員工逼成了對(duì)手，卻讓風(fēng)險(xiǎn)變得更加隱蔽。你禁了公司網(wǎng)絡(luò)，他用個(gè)人熱點(diǎn)5G；你禁了辦公電腦，他用個(gè)人設(shè)備；寫了制度處罰，他簽了字但照用不誤——只是再也不讓你看見。更危險(xiǎn)的是，當(dāng)使用轉(zhuǎn)入“地下”，你連最基本的審計(jì)日志都沒有。出了事，你根本不知道數(shù)據(jù)是從哪臺(tái)設(shè)備、通過什么渠道泄露的。這不是安全，這是掩耳盜鈴。

二、轉(zhuǎn)變思路：不是封路，是建“高速公路” 

我開始重新思考：企業(yè)面對(duì)OpenClaw，到底想要什么？不是“零使用”，而是“零失控”。與其讓員工在黑暗中摸索，不如打開一盞燈，鋪好一條路——建一條安全通道，讓AI的使用可管、可控、可審計(jì)。這條通道的核心，是我們自研的AI Agent Gateway。它像是一個(gè)“智能收費(fèi)站 + 指揮中心”：

我們不給員工發(fā)“禁令”，我們發(fā)的是“駕照”——通過考核的員工，獲得分級(jí)使用權(quán)限，所有操作經(jīng)過Gateway 流轉(zhuǎn)，全程可追溯。

三、落地：給“OpenClaw”造一個(gè)“蝦籠”

說三個(gè)真實(shí)場景。

場景一：提示詞里的“暗礁”

市場部同事想讓 “OpenClaw” 寫一份投標(biāo)方案，直接輸入：“基于XX 銀行客戶去年的網(wǎng)絡(luò)安全建設(shè)情況，幫我們寫個(gè)續(xù)期方案...”

風(fēng)險(xiǎn)：客戶名稱、項(xiàng)目信息直接暴露在提示詞里，上傳云端就是大忌。

我們的做法：Gateway自動(dòng)識(shí)別提示詞中的敏感實(shí)體（客戶名、金額、項(xiàng)目代號(hào)），替換為脫敏標(biāo)記后再發(fā)給LLM。返回結(jié)果再反向替換，員工看到的是完整內(nèi)容，但云端從未接觸真實(shí)數(shù)據(jù)。

場景二：Skills Hub的“投毒”風(fēng)險(xiǎn)

“OpenClaw” 的Skills市場（ClawHub）是開放的，任何人可以上傳插件。但你能保證每個(gè)插件都是安全的嗎？一個(gè)看似普通的“PDF轉(zhuǎn)換”技能，可能偷偷讀取你的文件外傳。

我們的做法：企業(yè)自建Skills Hub，所有技能經(jīng)過安全審核后上架。Gateway 禁止連接外部ClawHub，員工只能在企業(yè)白名單內(nèi)調(diào)用技能，從源頭杜絕供應(yīng)鏈投毒。

場景三：按需調(diào)度算力

核心架構(gòu)研發(fā)同事想用AI輔助寫代碼，但源代碼不能出內(nèi)網(wǎng)。功能應(yīng)用類研發(fā)同事需要快速實(shí)現(xiàn)業(yè)務(wù)、市場部寫行業(yè)分析，不需要這么嚴(yán)格。

我們的做法：Gateway內(nèi)置路由策略。可以根據(jù)員工、崗位、檢測到提示詞含代碼片段，自動(dòng)路由到本地部署的CodeLLaMA；低敏感任務(wù)、普通辦公任務(wù)走云端GPT-5。員工無感知，安全有保障。

四、消費(fèi)370億token使用教會(huì)我的三件事

這里的“370億 token”不是單指OpenClaw這類Agentic AI工具，它指的是我們過去一年在各類AI工具上的深度使用經(jīng)歷：從早期的ChatGPT、Claude，到現(xiàn)在的OpenClaw類Agent。這些經(jīng)歷讓我形成了三個(gè)認(rèn)知：

AI不會(huì)替代人，但會(huì)用AI的人會(huì)替代不會(huì)用的人

這不是危言聳聽。我見過不少工程師，還在用傳統(tǒng)方式工作、寫報(bào)告，而競爭對(duì)手用AI把同樣的工作壓縮到1/10的時(shí)間。企業(yè)如果不幫員工跨過這個(gè)鴻溝，最終失去的是人才競爭力。

安全部門的KPI不是“零事故”，是“業(yè)務(wù)安全地跑”

過去一段時(shí)間，我審批了300多起AI使用申請(qǐng)，拒絕過20多起。每一次拒絕，我都會(huì)告訴對(duì)方：不是不讓你用，是這種方式有風(fēng)險(xiǎn)，我們換一種方式。IT團(tuán)隊(duì)要從成本中心變成賦能中心。

提示詞是新的數(shù)據(jù)資產(chǎn)，也是新的風(fēng)險(xiǎn)敞口

很多企業(yè)盯著文件防泄密，卻忽略了提示詞本身就是敏感數(shù)據(jù)。客戶名、項(xiàng)目細(xì)節(jié)、戰(zhàn)略意圖，往往就藏在員工的提問里。AI Agent Gateway的核心價(jià)值，就是把提示詞管理納入數(shù)據(jù)安全治理的范疇，讓每一次人機(jī)交互都可審計(jì)、可優(yōu)化、可沉淀為企業(yè)經(jīng)驗(yàn)。

五、寫在最后

回到開頭那個(gè)場景。我們已經(jīng)有428名員工通過我們的AI Agent Gateway安全地使用Agentic AI，當(dāng)然我們也在內(nèi)部發(fā)布了自己的“龍蝦”RedClaw，讓大家可以安全、容易地使用 AI 提升工作效率。

這就是我們想要的狀態(tài)：不是對(duì)抗，而是共識(shí)；不是禁止，而是護(hù)航。

作為CIO，我的職責(zé)不是做那個(gè)說“不”的人。我的職責(zé)是：當(dāng)業(yè)務(wù)需要?jiǎng)?chuàng)新時(shí)，我能提供一個(gè)安全的邊界，讓創(chuàng)新在這個(gè)邊界內(nèi)發(fā)生。

Agentic AI不是洪水猛獸，但它確實(shí)是一匹烈馬。你可以選擇把它關(guān)在門外，也可以選擇在門內(nèi)給它套上韁繩——用AI Agent Gateway做那個(gè)握韁繩的人。

為了方便更多企業(yè)去安全的使用“龍蝦”，我們已經(jīng)把自己的網(wǎng)關(guān)平臺(tái)產(chǎn)品化了，且已適配國內(nèi)外各種主流AI智能體，感興趣的用戶可以聯(lián)系我們市場部的同事咨詢或者撥打 400-6288-116咨詢。