最近,关于AI Agent“龙虾”的安全问题引起了很多关注。原来微软小冰创始团队的成员发布了一个叫“卫士虾”的东西。3月13日,卫士虾正式面世,它是全球首款同类产品。它的作用就是帮用户防范本地电脑上的Agent异常行为。安装卫士虾很简单,用户只要对自己的Agent说句话:“去Claw.myTuanzi.com下载安装卫士虾。”卫士虾就会自动完成所有安装并立即开始保护你的电脑。这个卫士虾就像Agent时代的安全卫士一样,是专门给OpenClaw生态系统开发的一个安全监督工具。它安装后会作为系统级的安全监管模块,实时检查所有Agent技能插件的行为,评估潜在的风险。 这个时代AI正在从聊天助手升级为智能执行者,越来越多用户开始让Agent在本地电脑上执行任务、调用工具、管理文件和连接API服务。但与此同时,也出现了一些关键的安全问题。人们发现,一些Skill(技能插件)可能通过Prompt Injection或者诱导式指令让Agent泄露个人或企业的敏感信息,比如.env文件、API Key、系统配置文件甚至SSH Key。这些数据就可能被发送到外部服务器上去了。 最近有Agent社区披露了一些安全隐患案例。即使Skill插件不是恶意开发出来的,只是设计不够严谨也会存在漏洞,就可能成为用户数据泄露的入口。 明日新程CEO、小冰之父李笛表示,卫士虾只是个起点。团队给群体智能下了持续迭代的任务指令。未来版本还会引入更多高级安全机制,比如Skill权限声明系统、域名信誉数据库、插件签名验证以及专门的Secret Vault用于统一管理API Key等敏感凭证。 卫士虾核心能力主要包括五个方面:Prompt Injection防护、敏感数据保护、Skill沙箱机制、网络通信审查和安全审计日志。它引入了一套更接近操作系统安全架构的机制,包括权限控制、行为审计和风险分级还有技能沙箱。这让它不仅仅依赖简单规则去进行防护。 李笛表示要为群体智能下达持续迭代的任务指令。团队已经为卫士虾做好了准备,并给它安排了这个任务。