“龙虾”智能体最近真的火得一塌糊涂,不过安全问题也让人挺头疼。最近这段时间,大家都在讨论这个叫“龙虾”的开源AI智能体,毕竟它的图标看起来像只红色的龙虾。这个“龙虾”是OpenClaw的别称,它能把大语言模型和通信软件整合起来,在本地电脑上帮我们处理文件、收发邮件、分析数据这些复杂的活儿。但是这个东西虽然厉害,也带来了不少麻烦。比如它可能会误解我们的指令,做出删除文件这种有害的操作;还有就是技能包市场现在管理得不够严格,万一不小心用上了被植入恶意代码的技能包,数据泄露或者系统被黑客控制就麻烦了。 新华社3月10日在北京发了篇报道,跟大家聊聊怎么才能安全地用“龙虾”。记者找了中国信息通信研究院的副院长魏亮聊聊这个事儿。他说“龙虾”智能体是在本地电脑上运行的代理,有很强的自主决策能力和系统资源调用能力。不过信任边界不清晰、技能包缺乏审核这些问题也确实存在风险。比如“打补丁”升级到最新版本确实能修复已知漏洞,但也不能保证绝对安全。网络安全是个动态变化的事儿,黑客攻击手段也一直在变,“打补丁”不能当成一劳永逸的办法。 魏亮还提了几个具体的使用建议。首先肯定是要用官方最新版本,并且开启自动更新提醒功能。部署之前备份好数据,升级完后重启服务看看补丁有没有生效。其次是严格控制互联网暴露面,“龙虾”别直接暴露到公网上去。如果确实需要访问互联网的话就限制一下访问源地址,用强密码或者证书认证比较靠谱。还要定期自己检查一下有没有互联网暴露的情况。 还有就是坚持最小权限原则。部署的时候千万别用管理员权限的账号,只给它完成任务必须要用到的最小权限就行了。最好在容器或者虚拟机里隔离运行一下,这样形成独立的权限区域更安全。 还有防社会工程学攻击和浏览器劫持这一块。千万别随意点开来路不明的网站链接或者陌生网页链接。遇到可疑行为马上断开网关并重置密码就行。 最后就是建立长效防护机制了。启用详细日志审计功能定期检查修补漏洞很有必要。还可以关注一下工业和信息化部网络安全威胁和漏洞信息共享平台这类漏洞库的风险预警信息。 魏亮最后还提醒广大用户在使用“龙虾”这些AI智能体的时候一定要自己把安全底线给把握住详细了解并落实安全配置规范要求养成安全使用习惯。他也说了有关部门会持续做好安全监测一旦发现相关安全风险就会及时预警为用户安全使用提供必要的技术支持。