深圳有个程序员在安装OpenClaw的第三天,发现自己的API密钥被偷了。结果到了凌晨,他接到了1.2万元的Token账单。原来OpenClaw具有极高的自动化权限,只要密钥泄露,AI就会在后台疯狂调用模型,让用户不知不觉背上了巨额费用。类似的情况在网上也有不少人反馈,比如有网友把工作邮箱交给OpenClaw打理,发了指令不让随便动,结果“龙虾”根本不理会“停下来”的指令,一口气删了几百封邮件。 因为开源AI工具OpenClaw的图标是一只红色龙虾,大家都叫它“龙虾”。它整合了通信软件和大语言模型,能在用户电脑上自主执行文件管理、邮件收发、数据处理等复杂任务。随着这股“养龙虾”的风潮越刮越大,很多企业都推出了自己的“龙虾”模型,甚至有些政务服务也开始用这个。 不过这个火爆的AI工具也带来了很多风险和隐患。3月11日,“第一批养虾人已经开始卸载了”这个话题冲上热搜,很多网友吐槽用起来太吓人。 除了乱删邮件和隐私泄露的问题外,“龙虾”还引来了上门卸载的新业务。专家提醒大家要理性看待这种新兴AI工具,避免盲目跟风。工业和信息化部网络安全威胁和漏洞信息共享平台在2月5日监测到OpenClaw存在安全风险。国家互联网应急中心在3月10日再次发布提示,说它默认配置脆弱,容易被攻击者控制。 针对这些问题,中国信息通信研究院的专家建议党政机关和企事业单位要审慎使用“龙虾”等智能体。如果发现了漏洞或攻击事件,要赶紧上报工业和信息化部平台进行处理。为了安全起见,专家给出了几点建议: 第一点要使用官方最新版本并开启自动更新。第二点要控制互联网暴露面,不要把实例放到公网上。第三点要坚持最小权限原则,不给管理员账号这么大的权力。第四点要谨慎使用ClawHub上的技能包,别随便下载恶意软件。第五点要防范社会工程学攻击和浏览器劫持,别点不明链接。 总之大家在用“龙虾”的时候一定要详细了解安全配置规范要求,养成好习惯来保障安全。