2月5日,中国信息通信研究院副院长魏亮在受访时直言,虽然OpenClaw这个AI智能体俗称“龙虾”,更新到了最新版本可以修复一些已知漏洞,但是并不意味着它就安全了。魏亮指出,“龙虾”之所以强大,在于它能调用大语言模型和通信软件,自己在电脑里执行文件管理、收发邮件甚至处理数据这些复杂任务,它给了用户便利,也带来了不小的麻烦。早在2月5日,工业和信息化部网络安全威胁和漏洞信息共享平台就发布过预警,“龙虾”存在不少安全隐患。 这个平台建议党政机关、企事业单位和个人用户在使用“龙虾”时要特别小心。魏亮解释说,“龙虾”之所以让人不放心,是因为它有自主决策的能力,还能随意调用系统资源。现在的信任边界比较模糊,而且市场上提供的各种技能包缺乏严格审核,这就给恶意代码留了空子。如果有黑客偷偷植入了恶意技能包,用户的数据很可能就泄露了或者系统就被人控制了。 魏亮还举了个例子说,就算“龙虾”更新到了最新版本,如果它在调用大语言模型时误解了你的指令内容,也可能会导致执行删除文件这类有害的操作。哪怕你及时升级了软件,只要不采取针对性的防护措施,照样有被攻击的风险。所以大家一定要坚持“最小权限、主动防御、持续审计”的原则来使用它。 如果发现了新的安全漏洞或者遇到了针对“龙虾”的攻击事件,大家可以第一时间向工业和信息化部的网络安全威胁和漏洞信息共享平台报告。平台会按照《网络产品安全漏洞管理规定》来组织处置这些问题。