2月5日和3月10日,上海与深圳两地,国家互联网应急中心还有工信部连续发了两通警示,着重指出像OpenClaw这类智能体存在的四类严重隐患:提示词注入可能导致非法操作,缺少二次确认容易误删重要文件,技能市场里混入后门的插件能投毒,还有默认配置下就可能被远程拿壳。专家特意整理了“六条军规”,告诉大家如何防范:只装官方最新版,升级前一定要备份数据,升级完要重启并验证补丁生效;拒绝用第三方镜像或旧版本;堵住公网暴露面,实例不对外暴露,还要用白名单加强密码或证书、硬件密钥来三重认证;遵循最小权限原则,禁止以管理员身份运行,只给任务必需的权限,删除、发送、修改系统配置这些操作都要二次确认或人工审批;在技能市场看到“安装”千万别急着点,看到“下载zip”、“执行shell”、“输入密码”这些字眼赶紧绕道,最好先审完代码再动手;浏览器防护和防骗工作要同步做,装网页过滤器阻止可疑脚本,开启OpenClaw的速率限制与日志审计;遇到可疑链接就断网改密码。大家建立长效机制也很重要,要开启详细的日志审计,定期扫描漏洞;党政机关和企事业单位可以把杀毒软件和网络安全工具联动起来实时防护。 龙虾智能体狂热的背后,究竟是跟风还是踩坑?一只红色龙虾的图标让OpenClaw在开源社区一夜爆红。因为它,用户只要在电脑里“养”一只虾,就能让AI自动收发邮件、整理文件、跑数据分析——听起来就像给电脑请了一位24小时不打烊的助理。风潮很快出圈了,企业版、政务版接连上线,感觉“无虾不赋能”。可就在大家忙着发“加薪”指令的时候,“第一批养虾人已经开始卸载了”这个热搜出现了,这让狂热的气氛停了下来。热搜里全是哭与诉:“说停不停,邮箱被清空。”有用户只发了个检查收件箱的指令,结果龙虾直接无视警告,把几百封重要邮件全删了。“API密钥被盗,凌晨1.2万元账单。”深圳的一个程序员第三天就中招了:第三方API密钥被拖库了,凌晨手机弹窗1.2万元Token扣费。因为OpenClaw有极高自动化权限,密钥一旦泄露,AI在后台就会疯狂调用模型,用户只能默默还钱。“卸载教程、代卸服务齐飞。”吐槽声中卸载指南铺天盖地。3月10日某交易平台已经挂出了“上门卸载299元”的明码标价:上海上门299元,远程199元,口号是“安全彻底,无残留”。 原本大家觉得养虾能省好多力,结果“无脑养虾”只会收获一地鸡毛。把官方提示当耳旁风,把安全军规当空气,最后为疯狂买单的只会是自己钱包和隐私。下一次再看到“龙虾”蹦出来的时候不妨先问一句:我准备好了吗?