思科在 RSAC 2026 大會上推出開源安全框架 DefenseClaw，直指當前最火熱也最危險的「自主 AI 代理」（Claws）安全漏洞。這不是要扼殺創新，而是為能自行上網、寫程式、改資料庫的 AI「數位員工」戴上必要的安全手銬，讓企業能安心擁抱「代理型勞動力」的生產力革命。

什麼是「Claw」？它跟 ChatGPT 有什麼根本不同？

簡單來說，Claw 是一個能「思考」並「動手做」的自主 AI 代理，而 ChatGPT 只是一個「動口」的對話模型。這就像雇了一位能獨立完成專案的員工，與一位只能給你建議的顧問之間的差別。

傳統的大型語言模型（如 ChatGPT）是一個「封閉迴路」：你問，它答，結束。但一個基於 OpenClaw 或 Nvidia NemoClaw 框架構建的 Claw，則透過「模型上下文協定」（MCP）與真實世界互動。它配備了稱為「技能」（Skills）的模組化外掛，讓它能執行特定動作，例如運行終端機指令、呼叫 API、或操作企業軟體如 Jira 或 Slack。你不再只是命令它「總結這封郵件」，而是可以命令它：「總結這封郵件，找到信中提到的專案，在 Jira 中將狀態更新為『進行中』，然後在 Slack 通知團隊。」更關鍵的是，一旦學會，它就能自主、持續地執行並優化這類任務。

為什麼思科認為「能力若無治理，就不是創新，而是未受控的風險」？

因為 Claw 的強大能力，恰恰構成了傳統資安模型的「破口」。傳統資安防護是建立在「人類用戶發起請求」的假設上，但自主代理徹底打破了這個模型。

思科產品長 Jeetu Patel 在 RSAC 主題演講中的警告一針見血。Claw 帶來三大新型態的夢魘級風險：技能供應鏈攻擊、升級版的提示注入，以及自我演化風險。首先，「技能」就像早期的瀏覽器擴充功能，多由社群貢獻。一個聲稱能「美化你的 Excel 表格」的技能，可能內藏偷偷將你的登入憑證傳送到惡意伺服器的指令。其次，對聊天機器人進行提示注入，可能只是讓它說出不禮貌的話；但對一個能操作資料庫的代理進行提示注入，一封惡意郵件就可能指令它刪除關鍵檔案或變更權限。最後，代理是動態的，其行為會根據攝取的數據而改變，可能演化出開發者從未預期的危險行為。

DefenseClaw 究竟如何為這些「數位員工」戴上安全手銬？

DefenseClaw 的核心思想是 「可觀察性」與「策略執行」。它並非創造一個笨重、拖慢所有流程的單一防護牆，而是提供一套開源框架，讓企業能對 Claw 的每一個決策與行動進行透視、審計與控制。

具體而言，DefenseClaw 架構在 Claw 與其執行的工具（Skills）之間，扮演一個「安全代理」的角色。它透過幾個關鍵層面運作：1. 技能簽章與信譽庫：對所有要載入的 Skills 進行數位簽章驗證，並連接到社群維護的信譽資料庫，標記已知的惡意或高風險技能。2. 即時行為監控：在 Claw 執行「讀取檔案」、「呼叫 API」、「執行指令」等動作前，DefenseClaw 會依據預先定義的策略（如「不允許從財務資料庫執行 curl 指令到外部網域」）進行檢查與攔截。3. 決策日誌與取證：所有通過或遭攔截的決策都會留下完整的、不可篡改的審計日誌，萬一發生事件，能快速追溯根本原因。

根據一項 2025 年由 Cybersecurity Ventures 發布的預測，到 2030 年，由 AI 代理相關漏洞導致的全球經濟損失可能高達 1.5 兆美元。思科此舉正是為了在風險全面爆發前，提供基礎的防護工具。Patel 強調，這就像為雲端時代打造的身分識別與存取管理（IAM）或安全資訊與事件管理（SIEM）系統，是代理時代不可或缺的基礎建設。

企業在導入自主 AI 代理時，應該建立哪些具體的安全策略？

除了採用類似 DefenseClaw 的技術框架，企業在策略與流程上必須同步升級。首要原則是 「最小權限原則」 必須擴展到 AI 代理。

這意味著，你不能給一個負責整理會議記錄的 Claw 擁有刪除整個專案資料庫的權限。企業需要建立 「AI 代理身分目錄」，就像管理員工帳號一樣，為每個 Claw 定義清晰的角色、職責和相對應的系統存取權限。例如，一個「行銷內容分析代理」可能只能讀取 Google Analytics 的數據和草稿文件，但絕不能訪問伺服器的 root 權限或財務系統的 API。

其次，必須建立 「技能核准流程」。就像企業不會讓員工隨意從網路下載未經審核的軟體一樣，所有要安裝到企業 Claw 上的 Skills，都必須經過資安團隊的審查。這個流程可以結合自動化掃描（檢查程式碼是否有惡意呼叫）與人工審核。根據 Gartner 的建議，到 2027 年，將有 40% 的大型企業會設立專職的「AI 供應鏈安全」團隊，來管理這類風險。

最後，持續的紅隊演練變得至關重要。企業需要定期僱用或訓練內部團隊，像攻擊者一樣思考，嘗試對自家的 AI 代理進行提示注入、權限提升或誘導其執行非預期動作。這能幫助團隊提前發現防護策略的盲點。一個真實的案例是，某家金融科技公司在紅隊演練中發現，其用於處理客戶郵件的代理，竟能被一封精心構造的郵件說服，將郵件中的虛假銀行帳戶資訊更新到客戶資料庫中，凸顯了僅靠輸入過濾是不夠的，必須對代理的「推理鏈」進行監控。

開源策略對 DefenseClaw 的成功有多關鍵？這反映了什麼產業趨勢？

極度關鍵。 思科將 DefenseClaw 開源，是一記高明的策略棋。這不僅是技術選擇，更是生態系建設的關鍵。

在快速演變的 AI 代理領域，沒有一家公司能掌握所有場景和威脅。透過開源，思科能吸引全球的開發者、資安研究員和企業共同貢獻，快速豐富 DefenseClaw 的「技能信譽庫」、「惡意模式特徵碼」和「策略模板」。這能讓 DefenseClaw 的防護能力以社群的速度進化，遠快於任何單一公司的閉門開發。這類似於當年 Google 開源 Kubernetes 成功主宰容器編排市場的策略，思科意在成為 AI 代理安全層的事實標準。

這反映了 AI 產業一個清晰的趨勢：未來的競爭不在於擁有最強的單一模型，而在於打造最繁榮、最安全的工具與應用生態系。OpenAI 的 GPT 商店、Anthropic 的 Claude 模型、乃至於開源的 OpenClaw 框架，都在爭奪開發者與企業的心智和依賴。思科透過 DefenseClaw 切入，正是要在這個新生態系的「安全基礎層」卡位。市場分析機構 IDC 預測，到 2027 年，全球在 AI 安全與風險管理軟體上的支出將達到 280 億美元，年複合成長率高達 25%。開源的 DefenseClaw 有望成為這塊高成長市場中的核心基礎元件。

展望未來：當 AI 代理成為標配，我們的工作與社會將如何被重塑？

自主 AI 代理的普及，將不僅是「生產力工具」的升級，而是一場 「工作本質」的重構。人類的角色將進一步從「執行者」轉向「規劃者、審核者與教練」。

未來，一個行銷經理可能不再需要自己操作廣告後台或撰寫每篇社群貼文，而是負責訓練和指揮一個「行銷 Claw」，為其設定季度目標、預算框架和品牌準則，然後由 Claw 自主完成市場分析、廣告投放、內容生成與效果優化。人類的價值將體現在更高層次的策略思考、創造性判斷、以及處理模糊性和道德難題的能力上。這會導致技能需求的兩極化：高階規劃與監管技能的需求上升，而重複性的中階白領工作將被大幅自動化。世界經濟論壇的《2025 未來就業報告》就指出，預計有 23% 的工作將在未來五年內發生變化，其中 AI 與自動化是主要驅動力。

社會與法律層面也將迎來挑戰。當一個 Claw 在執行任務時犯了錯（例如，因錯誤解讀指令而誤刪了重要合約），責任歸屬是誰？是開發 Claw 框架的公司、編寫特定 Skill 的開發者、訓練它的企業，還是下達模糊指令的員工？這將催生全新的 「AI 代理監管」 領域。我們可能需要為 AI 代理設立類似「法人」的責任框架，或強制要求其購買「AI 責任險」。這場由技術驅動的變革，最終將考驗我們整個社會的治理智慧與適應能力。

總而言之，思科的 DefenseClaw 不僅是一個產品發布，更是一個強烈的信號：自主 AI 代理的時代已轟然來臨，它帶來的效率海嘯與風險暗流同樣巨大。企業與個人都必須開始認真思考，如何與這些能力強大但需嚴加管教的「數位同事」共處，在擁抱其無限潛力的同時，為它們，也為我們自己，繫上那條不可或缺的安全繩。

原始來源

• 文章標題： The agentic workforce is here: Why Cisco just put a ‘Claw’ on AI security
• 來源媒體： SiliconANGLE News
• 作者： Zeus Kerravala
• 發布時間： 2026-03-25T01:26:44.000Z
• 原文連結： https://siliconangle.com/2026/03/24/agentic-workforce-cisco-just-put-claw-ai-security/