把OpenClaw这一开源AI智能体工具给大家叫作“龙虾”,主要是因为它的图标看起来很像只红色的大龙虾。这次“养龙虾”的风潮里,不仅多家企业宣布把“龙虾”模型用到了业务里,连一些地方的政务服务场景都开始用了。“龙虾”主要靠把大语言模型和通信软件连起来,自己就能在电脑上处理文件、收发邮件和搞数据处理。然而,“养龙虾”也给大家带来了不少麻烦。3月11日的时候,#第一批养虾人已经开始卸载了#这个话题冲上热搜,很多网友都说自己遇到了乱删邮件和隐私泄露的情况。有网友专门发文章说,他把自己的工作邮箱交给了OpenClaw管,还特意让它别乱动,结果那只“龙虾”根本不听指令,直接删掉了好几百封邮件。另一位深圳的程序员更是倒霉,他在安装了OpenClaw第三天就因为API密钥被盗了,早上起来一看账单竟然高达1.2万元。这是因为OpenClaw有极高的自动化权限,一旦密钥泄露,AI就会在后台疯狂调用模型让用户在不知不觉中花大钱。 这么大的隐私和安全风险让网友们开始担心了。蓝鲸新闻还说,OpenClaw火了之后,二手交易平台上的“龙虾上门安装服务”生意也特别好。不过最近情况又变了,“上门卸载”的业务反而成了新热门。面对这股AI热潮,有人建议大家要保持理性别盲目跟风,还有人呼吁赶紧出台法律法规来管管这种技术。2月5日的时候,工业和信息化部网络安全威胁和漏洞信息共享平台就发现了问题。那个平台发现OpenClaw有些实例在默认或者配置不当的情况下特别容易受到攻击或者泄露信息。到了3月10日,国家互联网应急中心又专门发了个安全提示。提示里说OpenClaw的默认配置很脆弱,很容易让人拿到系统的全部控制权。现在已经发现了提示词注入、误操作、功能插件投毒和安全漏洞这四种严重的问题。 中国信息通信研究院的专家提醒大家:虽然“龙虾”智能体已经更新到最新版本把已知漏洞修好了,但这并不代表完全没风险了。专家呼吁党政机关和个人都要小心用这类智能体。万一发现了安全漏洞或者遭到攻击了,赶紧向那个平台报送情况。专家给大家支了几招安全“养龙虾”的招儿:第一是一定要用官方最新版;第二是别把服务暴露在公网上;第三是尽量少给权限;第四是ClawHub这个技能平台上的技能包可能有毒得小心下载;第五是防着那些社会工程学攻击还有浏览器劫持的招数。最后大家还得养成看官方安全公告和漏洞库预警的习惯。