最近啊,“养虾”这句话可火了,成了咱们AI圈里打招呼的口头禅。不过这儿说的虾不是真能吃的,而是一个叫OpenClaw的智能体。这玩意儿是去年底发的,虽说在国内名字改了几回,可这影响不了它在国外大火的势头。几个月下来,它就把全球最大的代码托管平台GitHub给刷爆了,还顺势卷到了国内。现在第一批“养虾人”里头,已经有人睡不着觉了。 这种情况挺怪的,一边是腾讯大厦楼下挤了近千人排大队等着免费安上,二手平台上还冒出了“代装龙虾”的生意,每天进账不少;另一边,工业和信息化部赶紧出来发了安全预警。有些用过的人都说,这智能体用了以后反而更心慌,因为你根本不知道它背地里会删掉啥。 业内人士也说了,要是配置不当这东西直接就暴露在网上了,只要被黑客盯上,任何人都能连上它的IP去扒你几个月的聊天记录、账号密码还有API密钥这些关键信息。专家更是警告说,“裸奔的龙虾”一旦被攻破,“一秒就能被搬空”。到现在为止,光是被扫出来的“裸奔”数量就已经到了27万只。 胡欣苒,她是在互联网公司做安全多年的老行家了,觉得现在这群涌进来的“养虾”大军大多是不懂命令行的普通人。他们花个几十块甚至299元找“代装”服务拿到了“龙虾”,却根本不清楚自己给了人家多大权限,更不知道以后会不会因为瞎折腾惹出大祸。 中国信息通信研究院的专家10号那天又提醒了一遍:虽说“龙虾”现在的版本已经把已知漏洞给补上了,但这不代表就没安全隐患了。毕竟它能自己做决定、调用系统资源,信任边界又不清不楚,再加上技能市场没把关审核,坑挺多的。黑客攻击的招数一直在变,光靠打补丁升级肯定不行。 想要安全用这玩意,除了及时更新版本,还得坚持“最小权限”、“主动防御”和“持续审计”。具体怎么做呢?第一肯定是用官方最新的版本,部署的时候最好直接从官网下稳定版并开自动更新提醒。升级前先备份数据,改完重启验证补丁到底管用没。千万别信什么第三方镜像或者旧版本。 第二是别把这只“龙虾”暴露在公网上,限制访问来源的地址。用强密码、证书或者硬件密钥来认证身份。第三是千万别用管理员权限的账号,只给干活儿必须的权限。删除文件、发消息、改系统配置这些关键操作最好有二次确认或者要你自己审核才行。 第四是对ClawHub这个技能包社区平台要留个心眼儿,里面可能有毒的包多着呢。建议大家下载前先看看代码内容,凡是要求你“下zip”、“跑shell脚本”或者“输密码”的都得拒绝。第五是小心社会工程学攻击和浏览器劫持。别乱点陌生链接上网页过滤器这类工具得装上,启用OpenClaw的速率限制和日志审计功能。要是发现不对劲立马断开网关重置密码。 最后呢还得搞个长效防护机制。启用详细日志审计功能定期查漏洞修补党政机关、企事业单位和个人用户都得结合网络安全工具和主流杀毒软件实时防着点还得关注官方安全公告和漏洞库的预警及时处置风险。 这不嘛第一批养虾人里好些人已经把这玩意儿给卸了以前是上门帮安装的业务火现在社交平台和二手平台上又出现了新行当——上门彻底卸载OpenClaw这类业务号称能提供专业的卸载服务支持远程操作或者上门处理价格从20元到299元不等看你选哪种方式咯。