大家注意啦!关于OpenClaw,这个被大家亲切称呼为“龙虾”的开源AI智能体,最近可是红得一塌糊涂。中国信息通信研究院的专家昨天(10号)又专门提了个醒。虽然“龙虾”智能体刚更新到了最新版,修好了一些已知的漏洞,但这并不意味着风险就彻底没了。毕竟,网络安全这个事儿变化多端,黑客的招数也在不断翻新,“打补丁”、“升版本”可没办法一劳永逸。 工业和信息化部的那个漏洞共享平台早早就发布过相关的安全提示了。“龙虾”主要是通过整合通讯软件和大语言模型,在咱们电脑上自己搞文件管理、收发邮件、处理数据这些复杂的活。它能自主决策,还能调用系统资源。再加上信任边界不清、技能包市场缺乏严格审查,这就留下了不少隐患。 专家建议大家要小心点用“龙虾”,党政机关、企业单位还有个人用户都要留个心眼儿。要是发现它的漏洞或者遇到攻击了,赶紧向那个共享平台报个信儿,他们会按规定处理的。任何网络产品的安全使用,光靠升级可不行,“最小权限、主动防御、持续审计”这几个原则必须得坚持住。 具体该咋用才能安全呢?听我说:首先得从官方渠道下最新版,千万别碰第三方的镜像或者老版本。部署的时候最好开个自动更新提醒,升级前记得备份数据,完事了重启一下验证补丁好不好使。 接着就是要严格控制把“龙虾”露在公网上的口子,谁能访问咱得限制一下;密码或证书、硬件密钥这些强认证方式也得用上。绝对不能用管理员权限的账号干活,只给它需要的最小权限就行;删文件、发数据这种重要操作得让它再确认一下或者人手工批一下。 ClawHub是专门给“龙虾”用户提供技能包的平台,那里头的东西有恶意投毒的风险。大家下载前一定要好好审查代码,凡是要求“下载zip”、“执行shell脚本”或者“输入密码”的技能包千万别碰。 还有啊,别随便点陌生链接浏览那些不靠谱的网站;给浏览器装个过滤器拦截可疑脚本也不错;开启速率限制和日志审计功能,发现不对劲立马断开网络、重置密码。 最后呢?得建立长效防护机制嘛!把日志记录打开定期检查修补漏洞;党政机关和单位可以多配合主流杀毒软件做实时防护;没事儿多去翻翻“央视新闻”发布的关于OpenClaw的官方安全公告还有那个共享平台的风险预警。 总之大家在玩儿AI智能体的时候一定要记着:详细了解并落实安全配置规范要求,养成一个好的安全使用习惯才是王道!这次编辑是刘义霞;二审周爱军;三审鹿智波。