前阵子“龙虾”这玩意火得不行,不少用户都主动卸载或者把自己电脑上的OpenClaw给清理了。还有商家趁机提供远程代卸载服务,要价199元。3月10日,就有个IP地址在上海的商家挂出了代卸载业务,上门服务收费299元(仅限上海),远程代卸给199元。他还信誓旦旦说能确保安全彻底、不留痕迹。 早在2月5日,工业和信息化部那边就发过预警,提醒大家防范“龙虾”的安全风险。中国信息通信研究院的专家也跟进提示,虽说现在的“龙虾”更新到了最新版能修复漏洞,但这并不代表风险就彻底消除了。 这东西之所以叫“龙虾”,就是因为它图标看着像只红色的大龙虾。它的工作模式是整合通信软件和大语言模型,在电脑上自主处理文件、收发邮件和搞数据处理。这种强执行能力虽然让产业界挺兴奋,也推动了生态繁荣,但也带来了很大的安全隐患。比如它可能误解用户指令导致乱删东西;用了带恶意代码的技能包可能泄露数据或者被黑客控制。 网络安全这事儿是动态变化的,光靠打补丁升级是不行的。专家呼吁大家用“龙虾”得慎重,尤其是党政机关和单位。万一发现了漏洞或者遭到攻击,要马上跟工信部网络安全威胁和漏洞信息共享平台报信。平时使用还要遵循“最小权限、主动防御、持续审计”这几个原则。 具体来说有几点建议:第一得用官方最新版,别瞎用第三方镜像或旧版本;第二不能让实例暴露在公网上,访问控制得严一点;第三部署时千万别用管理员账号;第四在ClawHub上挑技能包要小心审核代码;第五别随便点不明链接。 最后还得建议大家定期查看OpenClaw的官方公告和工信部的漏洞库预警。只有把这些安全措施都落实了,养成好习惯,才能最大程度地避免被攻击。