最近,“龙虾”这个开源AI智能体可火了,全网都在讨论怎么“养龙虾”。不过,“养龙虾”虽然热闹,但也有不少风险。有网友吐槽,“养龙虾”的时候,经常出现乱删东西、隐私泄露,甚至还会乱花钱的情况。最近,Meta超级智能实验室的AI对齐与安全总监Summer Yue就遇到了一件吓人的事,她的邮箱里200多封邮件竟然被删光了。还有人在网上买了远程安装服务,刚装上5分钟,反诈中心电话就打来了,真是吓出一身冷汗。深圳的一个程序员也遇到了类似的问题,安装了三天之后,他的API密钥被盗了,凌晨收到了1.2万元的账单。现在,“龙虾”虽然更新到了最新版本,修复了一些安全漏洞,可并不代表就完全安全了。因为把实例暴露在互联网上、使用管理员权限还有明文存储密钥这些问题,如果不采取针对性措施,黑客还是有机会攻击的。 全国人大代表周迪教授提到,“养龙虾”有三大风险点:指令诱导、配置缺陷和系统受控。说白了就是容易被忽悠、没锁门还有反客为主。指令诱导就是AI智能体辨别能力不够强,容易被坏人用指令骗走核心数据;配置缺陷就是为了图方便不设密码或者把权限都开放了,导致账号和算力被恶意窃取;系统受控就是AI智能体运行时有权限操作电脑文件,一旦被黑客控制或者执行错误代码,可能会删掉重要文件或者把人锁在系统外面。 那怎么“养龙虾”才安全呢?如果你想试试“龙虾”,给你几点建议:第一,不要在重要的电脑上安装使用,用虚拟机或者闲置电脑更保险;第二,装好之后改端口号,只允许本地访问Web界面别暴露在公网上;第三是尽量缩减权限特别是和财务、本地文件相关的权限;第四是设定好Token上限并监控API用量。 如果你想卸载“龙虾”,可以参考官方教程操作。Windows用户可以按Win+R输入cmd进入命令提示符或者PowerShell。Mac用户可以按Command+Space搜索终端Terminal输入命令。输入openclaw uninstall --all --yes就能把它彻底删除了。 卸载后可能会留下一些CLI工具残留需要再执行npm uninstall -g openclaw清除掉。最后重启一下电脑确保后台进程都关掉了。如果之前绑定过API Key像OpenAI或者Claude的密钥最好去官网废弃旧的生成新的以防万一。