最近开源AI智能体OpenClaw,也就是大家常说的“龙虾”,真的火了。因为有不少网友表示想卸载这个软件,网上还出现了一堆卸载教程,3月10日的时候,已经有人在交易平台上挂出了代卸载的服务。IP地址在上海的商家给了报价,上门服务299元,远程服务199元,还信誓旦旦地说能给“安全彻底”。 工信部的专家这次也出来提醒了,中国信息通信研究院的专家说,“龙虾”虽然更新到了最新版本,能修修补补那些已知的安全漏洞,但这并不代表所有的风险都没了。早在2月5日,工信部网络安全威胁和漏洞信息共享平台就发过预警提示了。 这个OpenClaw因为图标像一只红色的龙虾,所以才被大家这样叫。它能整合通信软件和大语言模型,在电脑上自动帮人管理文件、收发邮件、处理数据这些复杂任务。不过专家也指出,“龙虾”虽然强大,给我们带来了便利,但它带来的安全挑战也不小。 这个智能体有自主决策和调用系统资源的能力,加上信任边界不清晰、技能包市场审查不严,风险确实挺大的。比如它在调用大语言模型的时候可能误解指令,导致执行一些有害的操作。如果使用了被恶意植入代码的技能包,数据泄露或者系统被控制都是可能发生的事。 就算升级到了最新版本,如果配置不当还是有风险。比如把实例暴露在互联网上、使用管理员权限、明文存储密钥这些问题都不解决,黑客一样能攻击进来。网络安全是动态变化的,光靠打补丁和升版本可不行。 党政机关、企事业单位和个人用户在使用这类智能体的时候都得小心点。一旦发现安全漏洞或者攻击事件,要及时向平台报送。 专家还给出了几点建议来安全使用“龙虾”: 第一点是用官方最新版。部署的时候一定要从官方渠道下载稳定版并开启自动更新提醒。 第二点是控制互联网暴露面。千万别把实例放到公网上去,访问源地址也要限制好。 第三点是最小权限原则。部署时不能用管理员账号,只给必要的权限就行。 第四点是谨慎使用技能市场。ClawHub里的技能包可能有恶意代码,最好审查一下代码再安装。 第五点是防范社会工程学攻击和浏览器劫持。别随便点开陌生链接。 启用详细日志审计功能定期检查补丁党政机关企事业单位和个人用户可以结合网络安全防护工具主流杀毒软件进行实时防护定期关注官方公告和工信部平台的风险预警一定要落实安全配置规范要求养成良好习惯。