26万元,299元,30人,500元,AI,API,CNCERT,Clawdbot,Moltbot,OpenClaw,吉颐,国家互联网应急中心,狄海洲,这些关键词在今天的互联网圈里可以说是炸了锅。这个叫OpenClaw的玩意儿,不到一周就把大家的心给勾走了。它走红的方式挺特别,大家一开始是为了安装它,花上500块钱甚至更多找师傅上门服务。但这热度来得快去得也快,刚过了几个小时,“养虾人”们就开始疯狂找地方把它卸了。 这年头赚钱的路子真多,你能想到吗?因为大家都想在“雇佣数字牛马”的美梦里多睡会儿,结果第一个吃螃蟹的人发现没地方后悔了。所以就催生了一个全新的行当——上门卸载。这不,“龙虾卸载指南”也跟着出来了。最搞笑的是,二手交易平台上现在满屏都是报价比安装还低的“卸载服务”,从29.9到299元不等。 我看了下价格表,确实便宜得离谱。有个店主跟我算了一笔账,“卸载哪有安装那么复杂啊?不用手把手教你怎么用,省事多了。”这话虽然听着像个笑话,但确实有人因为这事赚了26万。但这事儿也闹大了,“养虾人”们那是真急啊,生怕被人盯着手里的资源出岔子。 国家互联网应急中心也坐不住了,赶紧发了风险提示。他们给这个项目起了个外号叫“小龙虾”,以前还叫过Clawdbot和Moltbot。现在各个云平台都能一键部署这个智能体软件,它直接听你的话就能操控电脑干活。但为了能自主完成任务,它被给了很高的权限——能读文件、能访问API、还能装插件。 这就好比给一个小孩儿一把锋利的菜刀让他自己玩。你猜怎么着?因为安全配置做得跟纸糊的一样脆,只要坏人找到个口子就能把整个系统的控制权都偷走。比如有人故意在网页里藏了恶意指令,“提示词注入”风险一上来就把你电脑的密钥全给偷光了;又或者它根本分不清什么是重要数据什么是垃圾邮件,“误操作”一发生可能就把你多年的心血全删了。 还有那些为了给它添功能的插件简直就是定时炸弹。好多本来是为了让它更好用的插件其实是恶意的,安上去就开始偷密钥或者往电脑里塞木马程序。这时候你的电脑就不叫电脑了,直接变成了任人宰割的“肉鸡”。 要是对个人用户来说还好说顶多是照片、聊天记录没了。但要是给金融、能源这种关键行业用出事可就大了去了。核心业务数据、商业机密还有代码仓库全都有可能泄露出去。 那怎么办呢?CNCERT给出了四条建议:第一别把默认管理端口暴露在公网上;第二千万别把密钥随便扔在环境变量里;第三只从可信的地方下载插件;第四要盯着补丁更新赶紧升级。 这事儿闹得挺大的吧?看来以后玩AI还得多长个心眼才行啊。