既要安全?要彈性，理想汽車如何解開企業?OpenClaw?落地死結｜甲子光年

給Agent補上基礎設施這一課。

作者｜田思奇

編輯｜栗子

2025年以來，大模型應用從只會聊天的AI助手，飛快進化為能自主調工具、跑流程的“數字員工”。以OpenClaw為代表的開源框架，無疑是這場變革的催化劑。

但當各行各業滿懷期待地將其引入內網時，卻發現原生的OpenClaw遠非完美，甚至在企業級生產環境中顯得有些“危險”。

它的極度靈活，在企業IT視角下等同于越權風險；動態生成的不可信代碼，隨時可能觸碰數據安全的紅線；而它面對長周期任務時表現出的脆弱性，以及不可控的脈沖式算力消耗，更是讓傳統IT架構不堪重負。

對于直營門店龐大、研發協同復雜、合規要求極嚴的汽車行業來說，這些“不完美”成為Agent規模化落地的阻礙。

變革起步于去年夏天。

據「甲子光年」了解，理想汽車決定從底層基建破局。在對比多種方案后，其最終選擇以阿里云ACS Agent Sandbox及阿里云容器服務Kubernetes版ACK為核心，并基于AMD算力，為Agent構建了一個集強隔離、高彈性與狀態持久化于一體的專屬‘沙箱’。

這套架構也為全行業解答了一個核心命題：在真正的企業生產環境中，Agent 到底該怎么跑？

1.OpenClaw水土不服，

車企Agent落地遇阻

理想汽車面臨的壓力，是所有直營車企共同的夢魘。

龐大的研發體系，首先遭遇效率瓶頸。2025年，理想汽車全年研發投入達113億元，創歷史新高，其中AI相關投入占比50%。

隨著整車軟件復雜度飆升，其軟件工程規模已接近大型互聯網公司，但代碼倉庫、技術文檔等資源分散在多系統，工程師大量時間耗費在資料檢索、版本確認等重復工作中，數據孤島不僅拉低效率，更延長了產品迭代周期。

在這樣的背景下，理想汽車開始引入Agent作為新型生產力工具，但問題并沒有解決。

OpenClaw等工具在設計之初更偏向靈活性與開發效率，當它們被引入企業環境，尤其是需要接入CRM、OA與代碼倉庫等核心系統時，原有架構暴露出明顯短板。任務執行通常運行在共享環境中，權限邊界不夠清晰，安全風險難以徹底隔離。

國家信息安全漏洞庫（CNNVD）數據顯示，自2026年1月至2026年3月10日，共記錄到82個與OpenClaw相關的漏洞，漏洞類型涵蓋訪問控制缺陷、代碼實現問題、路徑遍歷等多類安全風險。

與此同時，Agent的運行模式與傳統應用存在本質差異。它是連續執行的任務流，涉及多步驟調用與狀態保持。這類任務往往持續時間較長，對計算資源的占用呈現明顯波動。高峰期需要快速擴容，低谷期又需要盡可能釋放資源，否則成本會迅速累積。

行業調查驗證了企業的猶豫：麥肯錫2025年末發布的報告顯示，62%受訪者表示其所在企業已開始試用Agent，但只有23%受訪者表示企業已在至少一個業務職能中實現Agent的規模化部署，大多也停留在單一職能或局部試點階段。

研發端的痛點是效率與安全，門店端則承受著更直接的服務壓力。

與傳統經銷體系不同，直營門店承擔著銷售、試駕、交付與售后溝通等多重角色。在節假日或新品發布周期，短時間內爆發的海量用戶咨詢，要求銷售必須盡快響應，一旦回復慢了，高意向的客戶可能轉身就去了隔壁門店。

與此同時，門店的成本結構也在不斷上升。商超店等核心點位的租金與人力支出持續攀升，據部分媒體測算，一家核心商圈汽車門店的年運營成本可高達500萬元，服務質量與成本之間的矛盾日益突出。

直營模式的普及、軟件定義汽車的深入推進，以及用戶服務需求的持續升級，讓車企在前端服務與后端研發兩端同時承受效率壓力。傳統依靠人力擴張與流程優化的方式逐漸逼近天花板，企業迫切需要新一代智能工具重構運營與研發體系。

當Agent從工具走向系統，它需要的不再是一段代碼，而是一整套基礎設施。這一點，在車企這樣對穩定性、安全性與成本都高度敏感的行業中表現得尤為明顯。

對于理想汽車而言，這場從“用工具”到“搭基石”的變革就此展開。

2.理想汽車破局：

重構Agent底層運行邏輯

理想汽車的路徑，并非從OpenClaw本身入手。

「甲子光年」獲悉，理想汽車于2025年6月正式啟動企業級Agent基礎設施選型，圍繞直營車企對安全合規、算力彈性、規模化運維的核心要求，搭建了多維度評估體系，篩選出多條具備可行性的技術路線進行實測對比。

早期納入評估的方案各有側重。比如E2B自建路徑依托開源生態具備較強的定制靈活性，能夠與企業現有架構深度適配，但在規模化階段問題逐步顯現。資源需要提前規劃采購，利用率隨業務潮汐波動明顯，長期閑置帶來剛性成本。同時，集群管理、版本迭代、環境一致性維護對內部運維團隊提出較高要求，難以支撐快速擴張。

經過多輪篩選后，理想汽車最終選擇采用E2B協議，并依托阿里云ACS Agent Sandbox在AMD芯片上的算力優勢，構建統一底座。

試點落地過程中，理想將OpenClaw封裝為面向全員的數字分身，構建統一的企業AI助手入口。員工通過這一入口發起任務，無論是文檔處理、代碼分析，還是知識查詢，都在同一體系內完成。

當所有任務被匯聚到同一入口，系統的復雜性也隨之顯現。

不同任務對資源的需求不同，執行時長不一致，對安全隔離與數據訪問的要求也存在差異。如果仍然采用原有方式直接執行，系統很快就會失控。

在這一背景下，分層架構成為必然選擇。

最上層，是統一的AI助手入口，負責承接員工請求；其下是OpenClaw所在的Agent平臺層，承擔任務規劃、工具調用與流程編排能力。每一個請求進入系統后，會在這一層被拆解為多個執行步驟，并判斷是否需要調用底層執行資源。

再往下，是Sandbox管理與調度層。這一層相當于系統的中樞。OpenClaw管控平臺負責資源申請和管控，通過E2B協議將任務需求轉化為資源調度請求，由Sandbox Manager在Kubernetes集群中調度對應實例。通過Claim機制與SandboxSet的組合，系統能夠在集群中快速創建運行環境，同時借助鏡像緩存與預熱機制縮短啟動時間，從而支撐高并發任務場景。

最底層，則是Agent Sandbox執行環境。每一個任務最終運行在獨立Sandbox實例中，以ACS Pod形式存在于Serverless算力環境中，并通過網絡策略與存儲掛載實現訪問控制與數據持久化。任務執行的所有行為，都被限制在這一隔離空間內。

這一分層結構讓任務不再依附于某一臺機器或某一段代碼，而是被拆分為可以被調度、可以被恢復、可以被控制的運行單元。對理想汽車而言，這一變化使得Agent具備了進入企業核心流程的條件。

在門店側，最直觀的變化體現在響應效率上。

原本依賴人工完成的咨詢與流程處理，被部分轉移到系統中完成。用戶在任意時間發起請求，都能夠獲得穩定回應，高峰期的服務壓力得到緩解。銷售人員不再需要重復回答標準問題，可以將精力更多投入到高價值溝通中。

在研發側，AI助手成為日常工作的一部分。工程師可以通過統一入口獲取文檔、分析代碼或處理數據，信息獲取路徑被顯著縮短。原本分散在多個系統中的知識，被重新組織為可調用的能力。隨著使用頻率增加，這種變化逐漸累積為效率提升。

據「甲子光年」了解，目前已有約800名理想汽車員工常態化使用該平臺，同時還有四五千名員工處于排隊接入狀態，應用正從局部試點穩步邁向集團級規模化推廣。

3.阿里云ACS：

五大能力閉環，不止于安全

當這一架構穩定運行之后，系統能力開始逐步顯現。

在阿里云的設計中，這套能力被歸納為五個層面，它們并不是彼此獨立存在，而是在實際運行中相互支撐，形成一個完整閉環。

安全能力是整套體系的底層基石，也是車企最為看重的核心能力。

ACS Agent Sandbox 采用硬件加固的 MicroVM 虛擬化架構，從底層構筑防護邊界。每個智能體任務均運行在獨立虛擬化環境中，實現計算、存儲、網絡三維徹底隔離。

計算層面，任務之間不共享內核，大幅提升逃逸攻擊難度；存儲層面采用獨立云盤，數據鏈路完全隔離，銷毀后徹底擦除不留痕跡；支持東西向與南北向流量精細化管控，實例間默認禁止互訪，有效抵御橫向掃描與非法訪問，進一步契合車企高合規要求。

在此基礎上，平臺內置30余類AI運行時風險檢測，覆蓋提示詞注入、異常調用、越權操作等場景，配合全鏈路審計日志，形成從IaaS到應用層的縱深防御體系，完美匹配車企高合規要求，確保Agent在執?代碼或調??具時不會影響企業核?系統。

第二個關鍵變量是數據。

OpenClaw在執行代碼分析、報告生成、多步驟數據處理等任務時，會產生大量中間狀態與臨時文件，傳統容器環境容易因重啟或遷移導致數據丟失。

阿里云以ESSD云盤作為Sandbox根盤，配合NAS與OSS動態掛載，實現全路徑數據持久化。任意寫入操作均直接落盤，無需手動配置掛載卷，從根本上消除數據丟失風險。

這套體系具備極高可靠性，可實現RPO≈0的數據保護能力，同時支持在線熱擴容與高性能IO，滿足大規模并發任務的穩定運行需求，讓長時任務真正具備生產級可用性。

全生命周期管理能力，允許智能體從一次性調用，轉變為可管控、可恢復、可迭代的系統級能力。平臺支持創建、運行、暫停、休眠、喚醒、快照、銷毀這7種完整狀態流轉，覆蓋任務從啟動到結束的全過程。針對企業成本與效率需求，休眠喚醒機制可在釋放CPU與內存的同時保留完整執行狀態，喚醒后秒級恢復運行，兼顧連續性與經濟性。

平臺還提供場景化模板能力，針對研發、辦公、客服等不同場景預配置環境與權限，新實例可快速上線。針對企業規模化運維，系統支持滾動升級、灰度發布、藍綠部署等4種升級策略，升級前自動快照保護狀態，出現問題可快速回滾，實現零中斷、零丟失的平穩迭代。

彈性與成本控制能力，直接解決了企業規模化落地的核心顧慮。整套架構遵循按需創建、按需計費的原則，實例啟動計費、銷毀停費，無需提前囤購服務器，也不會產生長期閑置成本。平臺支持每分鐘15000個沙箱實例的水平彈性擴容，可輕松應對門店高峰、研發集中作業等潮汐式流量。

在理想汽車的實際測算中，傳統固定資源模式年度算力支出曾高達千萬元級別，而在垂直變配與休眠喚醒機制共同作用下，資源利用率顯著提升，整體成本得到大幅壓縮。

與此同時，該方案的開源兼容與規模化運維能力，基于ACK統一編排，方案同時支持E2B標準接入與K8s Claim原生接口，并結合基于AMD EPYC CPU架構的彈性計算實例，讓企業得以實現從數百到數萬Agent實例的無感擴容。理想汽車能夠在不改變內部技術棧的前提下，快速完成平臺遷移與規模化推廣，也為后續擴展至門店客服、車機協同等更多場景奠定基礎。

從底層安全隔離到上層業務賦能，這套云原生執行底座最終讓OpenClaw真正走出實驗環境，成為可規模化、可管理、可嵌入核心業務的系統性生產力。

4.結語：

重構執行邏輯，定義企業新基建

過去，軟件系統的核心是功能構建，數據在不同系統間流轉，判斷與執行環節始終依賴人工完成。如今，執行的定義被Agent改寫，任務無需綁定固定流程，可靈活拆解、智能調度，在各類系統間自動推進。

但目前多數企業對Agent的應用仍停留在局部提效層面，難以突破系統壁壘，核心問題并非模型能力不足，而是缺乏承載執行的基礎設施。真實業務中的權限管控、數據安全、系統穩定性等約束，直接決定了Agent能否長期落地，而非曇花一現。

在嚴苛的車企合規場景下，阿里云ACS Agent Sandbox搭載AMD算力，提供穩定、安全的系統環境，成功支撐Agent深入業務核心流程。這一實踐不僅實現了效率提升與安全合規底線的雙重堅守，更沉淀出了一套相對成熟的技術標準。

Agent的規模化落地，也正朝著車云協同的更高階形態演進，理想與阿里云正積極探索車端與云端協同的算力組合模式，計劃將Agent規模擴展至3萬甚至數十萬級別，通過持續優化端到端鏈路，為車企Agent的規模化升級提供新路徑。

這一模式也具備較高的可遷移性。

金融、制造、政務等領域面臨的共性挑戰，同樣面臨權限管控、長流程任務、高并發波動與成本約束的共性挑戰。已經完成標準化封裝的理想阿里云方案，能夠為這類場景提供直接參考，企業不必再從零搭建基礎設施，從而降低Agent規模化落地的整體門檻。

「甲子光年」認為，長期來看，企業之間的差距將隨Agent應用深化逐漸拉大。

一部分企業會逐步搭建圍繞Agent的基礎設施與執行體系，實現任務自由流轉與能力復用，釋放規模化部署AI“數字員工”的潛力；另一部分則繼續把AI僅視為輔助工具。

這種差距在初期并不明顯，但隨著業務規模擴大，二者在效率與成本結構上的分化會愈發突出。Gartner預測，到2026年底，40%的企業應用將嵌入AI Agent，遠高于2025年不足5%的水平。

這一趨勢下，未來企業競爭的焦點，將從模型能力轉向對Agent運行環境的支撐能力。Agent Infra不再是單純的算力與存儲池，而是整合安全、彈性與狀態管理的任務組織者。

當執行被重構，企業的運行方式也隨之改變。這套圍繞 Agent 構建的基礎設施，正在成為新一代企業操作系統的雛形。它的影響力，也才剛剛開始顯現。

（封面圖來源：理想汽車官網）