太平洋科技快讯的消息传来,3月10日,中国信息通信研究院副院长魏亮和国家互联网应急中心联合发了个风险提示,提醒大伙儿注意开源AI智能体OpenClaw,也就是那个“龙虾”。虽说这工具能自动管理文件、处理数据,用起来特别火,但它的默认安全配置可太脆弱了,拿到的系统权限又特别高,要是随便乱用,风险大得很。 国家互联网应急中心列举了四种主要风险:第一种是攻击者会在网页上给它下套,让它把系统密钥泄露出去,这叫“提示词注入”;第二种是它可能会把指令误解了,把重要信息删掉;第三种是装了恶意插件后,设备就会被别人控制,数据也会被盗;最后一种是之前被公开爆出来的那些高危漏洞,如果被人利用,系统可能会瘫痪。 工信部还有其他机构都建议大家加强网络控制,千万别把它的默认端口暴露在公网里,最好单独隔离一个环境来运行。凭证管理这块也得严管,千万不能明文存密钥,还得建个日志审计的机制。插件一定要从可信渠道装,只下那些经过签名验证的扩展程序。另外要时刻盯着补丁更新,一有新版本或者新补丁马上就把软件升级了。 中国信息通信研究院副院长魏亮在采访里也提到,“龙虾”虽然推动了国内AI生态的繁荣,但它这种能自主决策和调用系统资源的特性也带来了不少麻烦。哪怕更新到了官方最新版本,也只能把已知的漏洞补上,彻底消除风险基本不可能。这个工具在指令理解上容易出错、技能包里可能有毒、配置不当容易被攻击等等隐患都还在。所以网络安全得动态去防护,不能光指望升级一次就完事。 魏亮特别呼吁广大用户尤其是企事业单位的人要小心用,发现了漏洞或者被攻击了就赶紧向工信部的漏洞平台报信。他给出的具体建议是:从官方渠道下载最新版软件升级前先把数据备份好;千万别把OpenClaw暴露在公网上,实在要用的话最好通过SSH或者VPN去访问;遵循最小权限原则,禁用管理员权限,干大事的时候得让人人工审批一下;技能包要谨慎装,拒绝可疑的脚本和输密码请求;防范钓鱼和劫持行为;还要启用日志审计功能;建立个长效机制,随时关注官方的预警和漏洞公告。 AI发展确实快,带来了不少便利和效率提升,但用“龙虾”这种智能体的时候,咱们得把安全底线给守好了,落实好“最小权限、主动防御、持续审计”的原则,养成好习惯才能保住数据安全。