2026 年都到 2 月了，如果你还没有听说过火出圈的 OpenClaw，你可能有点 OUT 了。

这款以本地自主执行、多场景智能体协同为核心的 AI 智能体（Agent） 框架，已经从技术社区彻底破圈，变成现象级开源 AI 智能体（Agent）——GitHub 星标超 18.6 万、Discord 社区成员破 10 万，短短几个月，它已经成为云服务商、企业数据中心、AI 工程团队竞相布局的热门方向。

远不止是简单的对话助手，OpenClaw更被称为 “个人 AI 操作系统”，具备自主思考、任务拆解、工具执行、自我纠错 的完整能力，从个人效率提升到企业流程自动化，都已出现大量落地实践与开发者分享。它既支持本地运行，也可部署在云端；而出于 24×7 服务可用性、多平台集成等需求，云端部署已成为智能体规模化应用的主流选择，并实现与各种基于互联网的服务（如 WhatsApp、Discord、DingTalk 和 Web API）的无缝集成。

作为典型的自主智能体，OpenClaw 通过监控集成的消息通道来实时接收用户请求，协调大语言模型进行推理与任务规划，并调用各类工具和服务完成需要的任务，从而实现用户与下游系统之间的智能连接。但也正是这种高权限、高集成、高自动化的运行模式，让 AI 智能体面临前所未有的数据安全与隐私风险。

本文以 OpenClaw 为例，介绍典型 AI 智能体的架构及其面临的数据安全威胁模型，阐明以 Intel® TDX 为代表的机密虚拟化技术如何通过运行时隔离与加密保护，有效降低数据泄露与越权访问等风险，并进一步提出面向智能体应用场景的数据可信与隐私保护参考方案OpenClaw-CC。该参考方案已经开源至CCZoo GitHub: OpenClaw-CC [https://github.com/intel/confidential-computing-zoo/blob/main/cczoo/openclaw-cc/README_CN.md]

1. 本示例基于开源 AI 智能体框架 OpenClaw（该框架负责协调用户、语言模型、工具调用与长期记忆之间的交互），但本文所总结的数据保护原则与防护思路同样适用于其他具有类似架构特征的智能体框架。

OpenClaw云化面临的风险

云端部署的AI智能体与传统的“一次性”AI 工作负载有哪些本质差异？又面临哪些挑战？

它们需要持续运行，接入多种用户交互通道（如 Discord、WhatsApp、微信或 Web 应用），动态调用各类工具或技能，并需要维护用户上下文、长期记忆以及知识库，包括敏感的用户私有数据，如访问各种服务或账号所需的用户令牌或证书凭证。

这种运行模式不仅大幅拓宽了攻击面，也使高价值数据在智能体的运行时（即数据使用阶段）长期存在于内存、缓存甚至是磁盘中，显著增加了潜在的泄露风险。

机密计算在这种场景下价值凸显：它能够在硬件层面构建强隔离环境保护运行时数据，使其免受来自宿主操作系统、虚拟机管理程序及云服务管理员等基础设施层的威胁。通过在硬件隔离的可信执行环境（TEE）中运行智能体的各个关键组件，敏感数据得以与宿主环境实现物理隔离，从而显著增强整体安全性。

OpenClaw架构和数据流

在 OpenClaw 工作流中，智能体运行时会持续处理并保留上下文信息，包括用户会话历史、决策信息、企业文档、检索到的知识片段以及外部系统返回的数据，这些内容可能会涉及企业的商业机密或者用户的隐私信息。由于这些跨事务存在的上下文知识与数据资产会在后续工作流中被反复调用与引用，一旦智能体运行时遭受攻击并被突破，其潜在的信息泄露影响将显著高于传统的单次请求式 AI 服务。同时，可插拔（pluggable）的服务架构使敏感用户交互数据、上下文知识以及模型权重也成为高价值攻击目标。

云端智能体在运行过程中不仅需要面对复杂的外部威胁环境，其攻击面也因云平台的多租户的共享架构而显著扩大。由于智能体通常部署在多租户共享的云基础设施之上，一旦底层运行环境或关键控制边界被突破，攻击者可能获得对智能体运行时数据的非授权访问能力，从而导致敏感信息在“使用中”阶段暴露，风险影响具有系统性和扩散性。与此同时，平台侧访问控制策略的配置不当也可能引入额外隐患，例如权限分配过宽、隔离策略缺失或审计机制不足，都会使智能体所依赖的数据与服务接口成为潜在攻击入口。更重要的是，智能体长期运行所积累和保留的各类高价值数据资产（包括记忆存储、日志、配置文件、运维脚本及备份等）进一步放大了数据泄露与滥用的可能性，使得安全问题不再局限于单次交互，而演变为持续性的信任与治理挑战。

同时，智能体采用的可插拔（pluggable）服务架构在提升灵活性与扩展性的同时，也显著扩大了系统的攻击面。智能体在运行过程中需要在模型推理、记忆管理与工具调用之间持续传递上下文信息，使得敏感的用户交互数据、长期知识资产以及访问凭证可能在多个模块与插件之间共享与流转。由于插件与外部服务调用组件通常来自不同的组织，缺乏统一的软件信任链条，使得智能体的信任边界复杂且分散。一旦某个工具接口或集成组件存在漏洞，攻击者可能借此侵入智能体运行时环境，并进一步获取或滥用智能体在处理过程中所管理的高价值数据资产，从而带来严重的数据风险。

随着 OpenClaw 及类似的智能体应用向云端迁移，基于传统虚拟化基础设施的部署模式显著放大了智能体运行时数据泄露的风险，增加了用户会话上下文中敏感数据和状态被暴露的可能性。即使传输过程使用TLS，存储过程使用加密机制，攻击者仍然能够通过高权限宿主操作系统或虚拟机管理程序来非法访问智能体运行时内存，从而获取会话信息、推理过程的中间状态及各类服务和工具访问凭证信息；动态工具或服务调用的机制进一步加剧风险，工作流中服务或工具可能被诱导或者控制其代码路径，执行未经授权的有害操作。

典型的数据风险和挑战如下所述：

• 运行时上下文（Data-in-use）：面临高权限基础设施访问风险（如内存嗅探或调试）、Prompt 或工具注入，以及多租户或会话间的敏感数据泄露。运行时数据的持续使用增加了泄露或篡改的可能性，对数据机密性和完整性提出了更高要求。
• 长期记忆（Data-at-rest）：记忆存储可能成为高价值数据湖，一旦泄露或被篡改，后果很严重；生产数据被用于评估、Prompt 调优或持续训练，增加了暴露风险，并使数据使用的合规使用和授权管理的流程更加复杂。
• 密钥与权限 (Data-in-use)：AI智能体在调用内部或外部服务时依赖各类访问凭证（如 API 密钥、OAuth 令牌、Cookies），这些凭证一旦泄露或被滥用，造成跨服务的数据访问风险。
• 软件和服务供应链 (Integrity)：复杂的插件和服务供应链生态可能引入新的攻击面。第三方插件、工具库或外部服务在未经严格审查或安全验证的情况下接入智能体系统，可能成为数据外泄或权限滥用的潜在通道。

传统的沙箱机制(Sandbox)，无论是轻量级容器隔离或还是虚拟机隔离，都主要用于缓解进程间或租户之间的威胁。在复杂的云环境中，这类有限的隔离手段对突破平台防护、获得特权的攻击者（如被突破的虚拟机管理程序或云运营环境）提供的防护非常有限，无法有效满足当今AI智能体运行时及其敏感数据在整个生命周期内的安全需求。

要为AI智能体提供有效的数据与安全保护，必须覆盖整个推理—记忆—检索—执行管道。其中，运行时数据（Data-in-use）的机密性仍然是云化部署场景下最关键的挑战。智能体的长期记忆与持续学习能力赋予了系统持续知识积累和自我进化的能力，但也显著增加了数据治理、所有权及生命周期管理的难度，尤其在当前广泛缺乏强运行时隔离的多租户环境中尤为突出。实现可信安全的智能体执行，需要综合利用基于硬件强隔离、内存加密、远程证明以及全生命周期的数据管理等多种能力，以弥补传统沙箱机制在运行时数据机密性与完整性保护上的不足。

OpenClaw + Intel®  TDX

Intel®  TDX（可信域扩展技术）与智能体的数据安全

智能体在云端运行时的数据安全风险主要集中在数据使用阶段（Data-in-use），包括运行时上下文、工具调用参数与结果、推理决策的中间状态、持续长记忆，以及各种访问凭证在工作流编排过程中的反复访问。

为应对这些风险，通过Intel®  TDX 提供的一整套机密计算能力，将智能体的敏感执行和数据处理置于硬件强制隔离的可信执行环境中。通过硬件级隔离，即便宿主操作系统或虚拟机管理程序遭到入侵，也无法直接访问隔离区内的明文数据；内存加密机制确保用户数据在多租户环境下始终保持密态隔离，即便内存被整个导出，也能保障数据的机密性。

结合 TDX 的远程证明机制，上下游服务组件（如消息通道、密钥管理系统或外部 API 提供方）在释放敏感数据（如会话密钥或访问令牌）之前，可验证智能体工作负载的运行环境、执行策略及指纹信息，确保数据仅在受信的软硬件执行环境中被访问和使用。此外，TDX 提供的动态度量能力，使智能体中插件式的工具和服务执行组件能够进行动态加载时的完整性检查与细粒度控制，确保所有组件在执行过程中遵循安全策略。

通过硬件隔离、内存加密、远程证明和动态度量的组合，Intel®  TDX 为复杂、多插件的智能体工作流提供了可扩展、全生命周期的数据安全保障，使敏感数据在运行时处理、传输和存储过程中均受到严格保护，实现对智能体云端运行数据安全的全面可信。

OpenClaw 机密计算部署方案 (OpenClaw-CC)

为缓解多租户云环境中来自特权级别的基础设施的威胁，OpenClaw 运行时可以部署在硬件隔离的可信执行环境（TEE）中，如基于TDX的机密虚拟机（TDVM）。确保了即便宿主机操作系统或虚拟机管理程序被突破，甚至因运维账号泄露引发攻击，也无法直接访问智能体运行时内存中的用户数据。通过将智能体运行时的编排逻辑、策略执行和上下文处理全部隔离在可信执行环境中，OpenClaw-CC 能在整个推理—记忆—检索—执行管道中实现强数据机密性保护，有效弥补了传统虚拟机或容器隔离在运行时数据安全方面的不足。

此外，OpenClaw-CC 可利用远程证明（Remote Attestation）的机制，在释放敏感数据访问之前对运行时的身份和策略进行验证，构建实时的信任关系。各种上游的服务组件，例如消息服务、模型服务以及密钥/令牌代理管理服务，也可以在动态验证OpenClaw-CC运行时是否在可信执行环境中运行，并且确保度量信息符合安全预期。

持久化存储的用户记忆和上下文状态则通过静态加密（例如基于 LUKS 的加密磁盘）进行落盘保护，且加密密钥由机密虚拟机内部管理，同时在用户数据盘挂载时通过远程证明机制来验证存储系统的安全和完整。

综合利用 Intel®  TDX 提供的可信执行环境(TEE)、内存加密、远程证明机制等能力，OpenClaw-CC 构建了端到端的机密计算架构，有效防止运行时数据泄露的风险，并显著增强了系统在各层面抵御针对数据的攻击能力。目前阿里云、火山引擎以及百度智能云均基于Intel®  TDX提供了云上机密虚拟机（TDVM），用户可以前往试用部署OpenClaw-CC。

基于 Intel®  TDX 的 TEE 如何在数据处理过程中降低AI智能体运行过程中来自数据面的威胁风险。

风险领域	问题示例	Intel®  TDX 优势
运行时	内存检查、运行时上下文或中间状态泄露	核心进程和服务在基于 TDX 的可信执行环境（TEE）中运行；内存数据始终加密；支持运行时完整性验证与动态度量
长期记忆	长期记忆数据及用户上下文落盘或传输时可能泄露	数据在存储和传输过程中加密，仅在 TEE 内解密使用；结合远程证明管理敏感数据访问
密钥与权限	API 密钥、OAuth 令牌或 Cookie 被窃取	密钥和凭证仅在 TEE 内使用；通过远程证明机制控制密钥下发，确保仅在可信环境中访问
插件式工具与服务供应链	恶意或存在漏洞的插件、扩展或第三方服务	动态验证运行时及插件完整性；结合远程证明和动态度量降低供应链风险

尽管 Intel®  TDX 构建的可信执行环境（TEE）能够显著降低智能体运行时数据的泄露风险，但是传统的安全防护措施仍然不可或缺，例如最小权限控制、工具和策略白名单等，这些措施的具体实施超出了本文的讨论范围。

结论

以 Intel®  TDX 为代表的硬件级机密虚拟化计算能力，不仅为云端智能体提供了可验证的运行时可信底座，也为跨主体、跨服务的可信协作奠定了现实可行的技术基础。依托 Intel 至强平台成熟的软硬件生态与广泛的云端部署基础，智能体可以与同样基于 TDX 保护的模型推理服务、数据处理服务以及关键业务组件形成端到端的可信全链路，从而在经济便捷的云基础设施之上构建一个可扩展、可证明、可互操作的可信协作生态。

更重要的是，TDX 所提供的可信隔离与远程证明机制，使得不同参与方能够在缺乏直接信任关系的情况下，通过基于硬件的内存加密、权限隔离以及可验证的度量证据动态建立信任边界。这不仅降低了多租户环境下对底层平台的过度信任依赖，也使智能体在持续处理用户敏感数据、执行关键业务决策以及调用各种外部工具和服务时，能够获得持续的运行时机密性与完整性保障，从而显著提升云端智能体系统的整体可信水平。

在这一生态中，高价值数据得以在受保护的执行环境内实现闭环流转，模型能力得以在可信边界内稳定调用，智能体系统也因此能够突破传统“契约式信任”的约束，迈向“技术可验证式信任”的新范式。最终，这种以硬件可信执行环境为支撑的服务协作体系，将推动数据要素在云端更安全地流通与共享，并更充分地释放高价值数据资产与人工智能应用在规模化部署、跨域协同与产业落地中的综合价值。