最近大家特别关注那个叫OpenClaw的智能体,好多人因为它图标长得像红龙虾,就管它叫“龙虾”。它把通信软件跟大语言模型整一块儿了,能自己在电脑上执行文件管理、收发邮件和处理数据这些复杂任务,这功能是挺强大,但也把安全风险给放大了。工业和信息化部专家魏亮提醒咱们说,这软件更新是挺快的,用了最新版本确实能把已知的漏洞补上。不过,大家也别指望光靠升级就能彻底把风险给消除掉。 它是能自主做决定的,还会调用系统资源,再加上信任边界有点模糊,技能包市场现在还没严格审核,里面隐患可不少。要是调用大语言模型时它把指令给理解错了,说不定会直接执行删除文件这类坏事。如果用的是被坏人植入恶意代码的技能包,那数据泄露或者被人远程控制这种事儿很容易就发生。哪怕你升级到了最新版,要是不做点针对性的防范措施,还是很容易中招的。 政府机关、企事业单位还有个人用户用“龙虾”这种智能体的时候得多长个心眼。要是发现了它有安全漏洞,或者遇到了针对它的攻击威胁,记得赶紧去工业和信息化部网络安全威胁和漏洞信息共享平台上报情况。平台那边肯定会按规定及时处理的。 要想安全使用“龙虾”,除了及时升级更新之外,“最小权限、主动防御、持续审计”这三个原则必须得坚持住才行。中国信息通信研究院副院长魏亮就说了这个理儿。2月5日那天,工信部的网络安全威胁和漏洞信息共享平台已经发过预警了,专门针对OpenClaw的安全风险给大家提了几点防范建议。