“龙虾”智能体虽然更新了版本,依然藏着不少安全漏洞,大家可千万别掉以轻心,党政机关、企事业单位还有普通个人用户都得掂量掂量再用。据央视报道,最近一款开源AI智能体OpenClaw,因为图标像只红色龙虾,大家都叫它“龙虾”,这东西特别火。中国信息通信研究院的专家今天也出来说话了,虽说它已经升到了最新版本,能把已知的漏洞堵上,但并不等于从此就能高枕无忧了。 以前工业和信息化部就发过通知提醒大家注意这事。“龙虾”能调用大语言模型,还能自主干活儿,比如管理文件、收发邮件、处理数据什么的,这本事挺强。不过它能干的越多,风险也就越大。工业和信息化部2月5日就发出过预警,“龙虾”在调用大语言模型时可能会误解你的指令,不小心就把不该删的文件给删了;要是用了被恶意代码植入的技能包,你的数据泄露或者系统被控制也就很容易发生。 哪怕现在已经升级到最新版了,只要你没按规矩来防范风险,依然可能中招。比如你把实例暴露在公网上了,或者用了管理员权限、明晃晃地存密钥这些配置,就算打了补丁也没用。黑客的招数总是变着花样来的,“打补丁”根本不可能一劳永逸。所以专家还是那句话:党政机关、企事业单位还有个人用户,用“龙虾”的时候都要小心点。 发现有什么安全漏洞或者攻击的苗头了,赶紧上报给工业和信息化部网络安全威胁和漏洞信息共享平台,他们会按照规定来处理。任何东西想安全用,光升级还不行,得坚持“最小权限、主动防御、持续审计”的老规矩。 具体怎么用才安全?专家给了六条建议:第一,一定要用官方最新版,千万别去搞第三方的旧版本或者镜像文件;第二,把它藏好别暴露在公网;第三,干活时权限别给太大;第四,下载技能包时得留个心眼;第五,别瞎点乱七八糟的链接;第六,最好能定期查一查日志。 总之用户在用AI智能体的时候,得先把这些安全配置弄明白,养成个好习惯才行。