最近2月5日,工业和信息化部网络安全威胁和漏洞信息共享平台发布了关于OpenClaw开源AI智能体的安全风险预警提示。这个“龙虾”智能体因为图标的形状像一只龙虾而得名。它通过整合通信软件和大语言模型,在用户电脑上执行文件管理、邮件收发和数据处理等任务。它是由中国信息通信研究院和工业和信息化部支持的AI智能体项目。虽然“龙虾”智能体更新到了最新版本并修复了已知漏洞,但这次并不意味着它就完全安全了。 专家们指出,“龙虾”智能体的普及确实推动了我国AI智能体生态的发展,但它也给用户带来了严峻的安全挑战。之前就有过类似的警告,这次也提醒人们要审慎使用这个工具。用户可以向工业和信息化部网络安全威胁和漏洞信息共享平台报送任何关于这个工具的安全漏洞或者攻击事件。 为了安全使用这个智能体,建议采取以下措施:第一,使用官方最新版本,避免使用第三方镜像或者旧版。部署时要备份数据并验证补丁生效后再重启服务。第二,限制互联网暴露面,不要把实例暴露在公网上。第三,坚持最小权限原则,授予任务必需的最小权限并对重要操作进行二次确认或者人工审批。第四,谨慎使用ClawHub技能市场中的技能包,并仔细审查代码拒绝可疑操作的技能包。第五防范社会工程学攻击和浏览器劫持,避免点击陌生链接并启用速率限制和日志审计功能。第六建立长效防护机制定期检查修补漏洞并关注官方公告及时处置风险。 任何网络产品的安全使用除了及时升级更新外还必须坚持“最小权限、主动防御、持续审计”的原则。虽然这次更新可以修复已知漏洞但并不意味着完全消除风险了。网络安全是动态变化的黑客攻击手法也在不断迭代所以不能把升级当成一劳永逸的保障措施了。这次是一个例子需要大家注意AI工具在提升效率同时也带来新挑战给大家提个醒了。