近期AI智能体OpenClaw因为长得像一只红色龙虾,大家就喊它“龙虾”,这东西通过大语言模型和软件功能,能在电脑上自己搞文件管理、收发邮件这些复杂的活儿。虽说2月5日的时候,工信部的安全平台发过预警,给大家提了个醒,工业和信息化部、中国信息通信研究院那边也一直在盯着这事,但这东西还是没彻底安全。虽然“龙虾”把已知的漏洞给补上了,升级到了官方最新版本,但隐患还是不少。 工信部那边提示说,“龙虾”有自主决策和调用系统资源的本事,再加上信任边界不明、技能包市场审核不严,漏洞挺多。比如大模型可能误解指令把文件给删了,或者安装了有恶意的技能包导致数据泄露。就算你把系统都换成最新的版本,如果把实例放到公网上、用管理员权限、还把密钥明文存着,那黑客照样能搞破坏。毕竟网络安全是个动态的事儿,“打补丁”和“升版本”肯定不能让人一劳永逸。 专家们就呼吁党政机关、企事业单位和个人用户,用“龙虾”这类AI工具的时候得长点心眼。要是发现了什么漏洞或者攻击事件,赶紧给工业和信息化部的那个网络安全平台报个信儿。大家在用的时候最好遵循“最小权限、主动防御、持续审计”这几个原则。具体咋做呢?可以从这几个方面下手:第一,绝对得用官方渠道下的最新稳定版,还得开着自动更新提醒。升级前先备份好数据,改完后重启服务看看补丁管不管用;第二,千万别把“龙虾”暴露在公网上面,访问源地址要限制住;第三,千万别给高权限的账号干活,只给最基本的权限就行;第四,在ClawHub那个平台上找技能包的时候要留个心眼儿,别随便下载那种要输密码或者跑脚本的东西;第五,别随便点开那些不明网站的链接;第六,平时得多看看官方发的公告和工信部那边的风险预警。 用户在用这些AI智能体的时候,不管是政府部门还是企业个人,都得把安全配置规范落实到位才行。