“AI龙虾”是个新词儿,最近挺火,网友们都爱把这玩意儿戏称为“养AI龙虾”。常州那边有个江苏汇智智能数字科技有限公司的产品总监就说了,他试用OpenClaw来整理文件的时候,偶尔会自作主张删掉一些它认为不重要的文件,要是没经过多次调教和精细化管理,真的很难完全满足复杂的业务需求。江苏汇智智能数字科技有限公司的产品负责人王亮也指出,普通用户使用OpenClaw的时候,安装复杂度和权限安全是两个很大的门槛。 3月11日,工信部的网络安全威胁和漏洞信息共享平台特意发布了一份关于防范OpenClaw开源智能体安全风险的“六要六不要”建议。这份建议给大家提了个醒儿,防范社会工程学攻击和浏览器劫持、严格控制互联网暴露面、建立长效防护机制等等这些都是关键点。 这就好比是给“AI龙虾”找了个笼子住,既要保证它能干好活,又不能让它乱来。专家们说,从下载到安装再到使用,每一步都得留心眼儿,不然要是给它开的权限太高,或者让它在网上裸奔被黑客接管了,你自己都不知道是怎么回事儿。 具体到怎么操作呢?首先你要从官方渠道下载最新的稳定版本并开启自动更新提醒;升级前记得备份数据,升级后还得重启服务并验证补丁有没有生效;千万别用第三方镜像版本或者历史版本。 其次呢,你得定期自查看看有没有互联网暴露的情况;如果发现了就赶紧下线整改;就算是真的需要互联网访问也得用SSH这种加密通道,限制访问源地址的同时还要用强密码或者证书、硬件密钥这些认证方式。 第三点就是坚持最小权限原则了;根据业务需求只给它完成任务必须的权限就行了;删除文件、发送数据、修改系统配置这些重要操作得进行二次确认或者人工审批;最好能在容器或者虚拟机里隔离运行形成独立的权限区域;千万别在部署的时候用管理员权限账号。 第四点关于谨慎使用技能市场方面的建议就是要仔细审核ClawHub里的技能包;安装之前先看一眼代码;千万不要用那种要求“下载ZIP”、“执行shell脚本”或者“输入密码”的技能包。 第五点就是防范社会工程学攻击和浏览器劫持了;用浏览器沙箱、网页过滤器这些扩展来阻止可疑脚本;开启日志审计功能遇到可疑行为马上断开网关并重置密码;别去逛那些来历不明的网站、点那些陌生的链接、也别读那些不可信的文档。 最后一点就是建立长效防护机制了;定期检查并修补漏洞;及时关注OpenClaw官方安全公告和工信部的网络安全威胁和漏洞信息共享平台上的风险预警;党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护及时处置可能存在的安全风险;绝对不能禁用详细日志审计功能。 记者吕倩媛和庄滨滨也专门报道了这件事。他们提到了“AI龙虾”虽然好用但也要小心风险的问题。网上的大公司都在推这服务,但真要用到具体场景里去还是得掂量掂量安全风险有多大。要是用来智能办公那就得提防自家网络被攻击;要是用来炒股就得小心交易被非授权接管;做运维开发要防着核心代码被偷;做个人助理得谨防关键信息泄露等等这些问题都得先弄清楚再决定要不要用。