最近,一个叫做OpenClaw的开源AI智能体,俗称“龙虾”,引起了大家的广泛关注。大家都知道,这个智能体很强大,能帮用户管理文件、收发邮件、处理数据等等复杂任务。不过,它的强大也带来了安全风险。因为它整合了大语言模型和通信软件,所以有时候可能会误解用户指令,执行有害操作。还有些恶意技能包可能会导致数据泄露或系统受控。 最近,“龙虾”智能体的安全问题引发了争议。有些人打算卸载它,也有商家提供了上门或远程卸载服务,收费199元。还有一名上海的商家报价299元上门卸载,199元远程卸载,承诺安全彻底无残留。3月10日,某交易平台上已经出现了代卸载“龙虾”的服务。 2月5日,工业和信息化部网络安全威胁和漏洞信息共享平台发布过预警提示,提醒大家注意“龙虾”的安全风险。工信部专家也提醒大家审慎使用这个智能体。尽管现在“龙虾”已经更新到了最新版本,能修复已知的安全漏洞,但并不意味着完全消除风险。 为了保障安全使用,专家提出了几个建议:首先要使用官方最新版本,尽量从官方渠道下载稳定版并开启自动更新提醒;其次要严格控制互联网暴露面,不要将“龙虾”实例暴露到公网;第三要坚持最小权限原则,只授予完成任务必需的权限;第四要谨慎使用技能市场ClawHub,审查技能包代码;第五要防范社会工程学攻击和浏览器劫持。 另外,专家还强调网络安全是动态变化的,不能把“打补丁”和“升版本”当成一劳永逸的保障。建议用户定期关注OpenClaw官方安全公告和工信部平台的风险预警,并详细了解并落实安全配置规范要求。 中国信息通信研究院专家今天再次提示:尽管OpenClaw已经更新到最新版本修复了已知漏洞,并不意味着完全消除安全风险。“龙虾”具有自主决策、调用系统资源等特点,加上信任边界模糊、技能包市场缺乏严格审核,存在不少风险隐患。