大家都在聊一个挺火的开源AI智能体叫OpenClaw,俗称“龙虾”。2月5日的时候,中国信息通信研究院副院长魏亮提醒大家,说“龙虾”现在迭代得特别快,虽然最新版本已经把那些已知的漏洞给补上了,但并不代表风险就彻底没有了。“龙虾”主要是靠着图标像一只红色龙虾才被大家记住的,它能整合通信软件和大语言模型,在用户的电脑上自己跑去处理文件、收发邮件和整理数据。这种很强的执行能力,其实也让用户面临着很大的安全考验。 之前工信部的网络安全威胁和漏洞信息共享平台还专门发了预警提示,说了一堆要注意的问题。魏亮讲得很清楚,“龙虾”的安全风险主要有两方面:一是它自己能做决定、能调用系统资源,信任的界限本来就模糊不清;二是技能包市场现在还没严格审核。这就容易让恶意代码混进去,一旦被植入,数据就可能泄露或者系统被人控制了。 就算你把“龙虾”更新到了最新版,要是没采取点针对性的防护措施,照样会被盯上。党政机关、企业还有个人在用这种智能体的时候都得悠着点。要是发现了安全漏洞或者攻击事件,赶紧第一时间去工信部的那个平台上报。平台那边也会按照规定来处理的。 至于怎么安全地用这个智能体,除了及时升级更新外,还得坚持三个原则:给它最小的权限、主动防御以及持续审计才行。