中国信息通信研究院的副院长魏亮最近接受了记者的采访,聊了聊如何让开源AI智能体“龙虾”安全起来。工业和信息化部方面表示,大家用这种新科技的时候,必须小心防范。魏亮提到,其实任何网络产品的安全防护都有套路,除了得按时升级,最重要的是要有“最小权限、主动防御、持续审计”的意识。 结合之前发的那些风险提示,魏亮把具体的注意事项归纳了六点。第一点很重要,一定要用官方最新版的软件。部署的时候就别去那些乱七八糟的地方下载了,直接去官方渠道拿最新稳定版就行,顺便把自动更新功能给开了。升级前先把数据备份好,升级完了记得重启服务检查一下补丁有没有生效。千万别用第三方镜像或者旧版本。 第二点是要把互联网暴露面给控制住。绝对不要把“龙虾”这个实例直接扔到公网上暴露着。要是确实需要用互联网访问,就用SSH或者VPN来做中转。还有得限制一下访问的源头地址,密码和认证方式也得弄得强一点,别老用简单的密码或者证书、硬件密钥之类的方法。 第三个原则是最小权限原则。在安装的时候千万别用管理员账号跑任务,只给它干活儿需要的那一点点权限就行了。对于那种会删除文件、发数据、改系统配置的危险操作,最好加个二次确认或者让人工去审批一下。最好是在容器或者虚拟机里面单独跑这个程序,这样权限就隔离开了。 第四个是小心用技能市场。ClawHub是个专门给大家提供技能包的地方,但这里面的东西可能有毒。建议大家下载前先检查一下代码内容,但凡看到“下载ZIP”、“执行shell脚本”或者要求你输密码的技能包,赶紧拒绝安装。 第五个是要防住社会工程学攻击和浏览器劫持。别没事乱点陌生网站链接或者那些来历不明的邮件附件。建议给浏览器装个沙箱或者网页过滤器把可疑脚本挡住。OpenClaw这东西也得把速率限制和日志审计功能都打开着,一旦发现可疑行为马上断网并且把密码重置了。 第六个是建立长效防护机制。得把详细日志审计功能给打开定期检查漏洞。党政机关和企业单位的用户还可以结合网络安全工具或者杀毒软件来实时防护。大家还得盯着OpenClaw官方的安全公告看还有工信部的那个漏洞信息平台上的消息,及时处置可能存在的风险。 最后魏亮又强调了一遍:广大用户用“龙虾”这类AI智能体的时候,安全底线一定要自己守住。详细了解配置规范要求之后才能养成好习惯。中国信息通信研究院这边也会继续做好安全监测工作,万一发现什么风险会第一时间发预警通知给大家提供技术支持。