最近这个叫OpenClaw的开源AI智能体特别火,大伙都管它叫“龙虾”。它把聊天软件和大模型融合在一起,能让电脑自己干文件管理、收发邮件这些复杂活儿。不过,这股热潮背后其实藏着不少风险。工业和信息化部的专家魏亮说,尽管“龙虾”现在更新到了最新版本,能把已知的漏洞给补上,但这并不意味着就完全安全了。中国信息通信研究院也强调了这个问题,建议大家还是要多加小心。 “龙虾”本身有个毛病,就是它会自己做决定、调用系统资源。再加上它用的那些技能包市场监管不严,很容易让人信任它。如果不小心让它误解了指令,它可能会去删数据。要是碰上那种被人偷偷塞了恶意代码的技能包,搞不好数据就泄露了,甚至系统都会被别人控制住。魏亮提醒说,哪怕你是按照官方最新版升级了的,要是不用些针对性的防护措施,照样会有被攻击的风险。 对于党政机关、企事业单位还有个人用户来说,用“龙虾”这种工具得慎之又慎。如果发现了相关漏洞或者攻击事件,赶紧向工信部的那个网络安全威胁和漏洞信息共享平台去报个信。平台那边会根据规定来处理。最后想给大家提个醒:要想安全用它,光升级不够,还得坚持最小权限、主动防御和持续审计这几个原则。 2月5日的时候,工信部就发了预警提示。你看这次的事,“龙虾”这东西更新迭代太快了。虽然新的版本能把旧的漏洞堵上,但因为它是自主运行的加上信任边界不明确,“龙虾”还是有不少安全隐患存在。 “龙虾”具有调用系统资源的能力,所以很容易因为用户不小心操作就出事。使用那些市场上没经过严格审核的技能包是非常危险的事情。大家一定要搞清楚,“龙虾”虽然能干很多事,但是它也可能误判指令导致删除文件或者其他有害行为发生。 这次事件让我们认识到了智能体工具带来的巨大安全挑战。我们不能因为它功能强大就忽视了背后的风险问题。“龙虾”的火爆背后隐藏着巨大的安全隐患,“龙虾”可能误解指令执行有害操作,“龙虾”可能因为技能包被植入恶意代码而导致数据泄露或者系统受控。 所以我们在使用这类工具的时候必须格外谨慎。除了要及时进行升级更新外,“龙虾”还必须坚持最小权限、主动防御和持续审计的原则才行。