有位叫魏亮的专家,正好在这次谈到了开源AI智能体“龙虾”。他说党政机关、企事业单位还有个人,用这个工具都要小心点儿。这阵子“龙虾”特别火,大家不光关注它,还拿来实际操作。同时呢,网上也有不少关于它安全问题的讨论。“养龙虾”到底安不安全?个人用户怎么用才放心?记者就去问了中国信息通信研究院副院长魏亮。 记者问他,工信部之前发过安全提示,“龙虾”升级到最新版本了,风险是不是就没了?魏亮解释说,“龙虾”其实就是OpenClaw的俗称,因为图标像红龙虾才这么叫。它能把通讯软件和大语言模型结合起来,在本地电脑上自己处理文件、收发邮件或者处理数据这些复杂任务。因为这个功能强大,我国产业界和用户都很上心,推动了智能生态发展。但这也带来了很大的安全隐患。 最近工信部网络安全威胁和漏洞信息共享平台也发过预警,说了一些防范办法。现在这个软件更新得很快,升级到官方最新版确实能修好多漏洞。不过呢,这不代表就彻底安全了。它是在本地运行的AI代理,有自主决策和调用系统资源的本事。加上信任边界模糊、技能市场审核不严,问题挺多。比如调用大语言模型时可能搞错指令干坏事,或者下载了带毒的技能包导致数据泄露。 要是把实例放到公网上用管理员权限或者明码存密钥这些操作不当,就算升级了还是容易被攻击。网络安全是动态变化的,不能光靠打补丁或者升版本就完事了。所以他呼吁大家谨慎使用“龙虾”,发现漏洞或者被攻击了赶紧报给工信部的平台。平台会按规定处理,维护大家的权益。 记者又问用这个软件得注意啥才能安全?魏亮说关键是坚持“最小权限、主动防御、持续审计”的原则。他给了几点具体建议:第一要用官方最新版的下载最新稳定版的从官网下;第二别把实例暴露在公网互联网上要用SSH或者VPN访问而且限制来源地址还有强密码之类的认证方式;第三部署时别用管理员权限只给必需的最小权限重要操作要二次确认或者人工审批;第四谨慎用ClawHub这个技能市场下载前要审代码拒绝要你下载ZIP或者执行shell脚本的技能包;第五别随便点陌生链接建议用浏览器沙箱过滤可疑脚本;第六要启用日志审计定期检查漏洞党政机关和个人要结合杀毒软件防护关注官方公告和漏洞库及时处置风险。 最后他强调用户得自己守住安全底线按照规范用养成习惯他也会持续监测及时预警提供技术支持。