哎,这两天开源的那个AI智能体OpenClaw特别火,中国信息通信研究院的专家今儿个又把大家招呼了一遍。虽然说“龙虾”(这就是因为图标像只红龙虾才这么叫的)现在更新到了最新版,能把之前那些已知的安全漏洞给补上了,但是你也不能完全指望它能解决所有问题。之前工业和信息化部那边也发过相关的风险提示了。“龙虾”这玩意儿主要就是利用通信软件还有大语言模型,在你电脑上自己动手干活,像管理文件、收发邮件、处理数据这些复杂的事它都能干。不过因为它有自主决策的能力,还能随便调用系统资源,再加上信任界限不那么清楚,还有那个技能包的市场审核也不严,所以这上面其实藏着不少雷。 你看网络安全这东西是个动态的东西,黑客们搞的花样也是一天一个样。所以说光给“龙虾”打补丁、升个级,可不能当成一劳永逸的事儿。咱们党政机关还有企事业单位的工作人员,还有大家平常在用这种智能体的时候都得长点心。 要是你哪天发现了“龙虾”的漏洞,或者是听说有人针对它发起攻击了,赶紧把消息报给工业和信息化部的那个网络安全威胁和漏洞信息共享平台吧。平台那边会按照《网络产品安全漏洞管理规定》的要求来处理。不管用啥网络产品都得记得这点:除了升级软件外,“最小权限、主动防御、持续审计”这几个原则必须得坚持住。 专家给出了几条具体的建议来教大家怎么安全地用“龙虾”:第一就是用官方最新版。安装的时候最好从官方渠道下最新的稳定版,把自动更新的提醒也给打开。升级之前记得先备份数据,更新完重启一下服务看看补丁有没有生效。千万别去用第三方的镜像或者旧版。 第二点就是要控制好暴露在外的互联网接口。千万不要把你的“龙虾”实例直接扔到公网上去,限制一下谁能访问你的地址吧。用强密码或者是证书、硬件密钥之类的方式来验证身份才更安全。 第三就是坚持最小权限原则。安装的时候千万别用管理员账号那种超级大权限的账号去干活。给它需要的最小权限就够了,删除文件、发数据、改系统配置这种重要操作得让它再确认一遍或者让咱们人工来审批才行。 还有就是在ClawHub这个专门给“龙虾”提供技能包的社区平台上要小心谨慎。里面那些技能包很有可能是被人投毒的恶意软件建议大家别乱下。安装之前先仔细检查一下代码内容,凡是要求下载zip包、执行shell脚本或者输密码的技能包都别碰。 最后还得防范社会工程学攻击和浏览器劫持这些手段。别随便去点来历不明的网站链接多看看那些网页过滤器之类的扩展插件来阻止可疑脚本跑起来。给OpenClaw把速率限制和日志审计功能都打开遇到不对劲的赶紧断开网关并且重置密码才算完事。 还要建立个长效的防护机制定期检查修补漏洞单位或者个人用户可以用网络安全防护工具搭配主流杀毒软件来实时盯着点。没事儿多关注一下OpenClaw官方发的安全公告还有工业和信息化部那边的漏洞库预警消息及时把那些可能存在的风险给处理掉就行了。 用户在用这些AI智能体的时候可得把安全配置规范这一块详细了解透养成一个好的使用习惯这才是王道。