“小龙虾”最近闹得挺凶,3月8日那天,工信部的网络安全威胁和漏洞信息共享平台(NVDB)发了个公告说它容易出事。这玩意儿以前叫Clawdbot和Moltbot,是个由奥地利程序员彼得·斯坦伯格(Peter Steinberger)搞出来的AI智能体,名字听起来像个养虾场,所以大家也管它叫“龙虾”。 它是一个可以直接根据指令干活的程序,给的权限特高,能读文件、读环境变量、调用外部API,甚至还能装扩展。本来想用它来让电脑干活更方便,但因为默认的安全设置太弱了,要是让坏人找到了突破口,电脑马上就会被人家全盘接管。 3月10日,国家互联网应急中心也发了个风险提示。 前面已经出现了不少问题,比如有人在网页上藏恶意代码,让它把密钥给偷了;还有它可能会误删重要数据;甚至很多功能插件都被发现是有毒的,装上之后能把设备变成“肉鸡”。而且现在已经爆出来好几个高中危漏洞,一旦被利用了,那损失可就大了。 对于普通用户来说,照片、文档这些隐私可能会被偷;对于银行和电厂这些关键行业来说,那可是要命的。 建议大家部署的时候要小心点:别把管理端口直接连到公网上去;把密钥别写在环境变量里;插件只能从可信的地方下载;还有记得及时更新补丁。 工信部也提了醒,说它在部署的时候“信任边界模糊”,又有自己持续运行的特性,如果权限没管好、审计机制不完善,很容易被恶意接管。建议单位和个人赶紧检查一下公网暴露情况和权限配置。 目前国内的云平台都有一键部署服务,这就让它的安装量特别大。它跟那些只会聊天的AI不一样,号称能真正干活,所以才会这么火爆。 但火爆的另一面就是安全风险问题啊。这就是一个典型的“养龙虾”热潮背后隐藏的网络安全隐患。