2月5日,深圳一家公司给工业和信息化部网络安全威胁和漏洞信息共享平台报送了一份风险信息,说有个叫OpenClaw的开源AI智能体存在严重漏洞。这东西图标是只龙虾,平时大家都管它叫“龙虾”。它能在电脑上自主处理邮件、管理文件,功能很强。 这个“养龙虾”的风潮一出来,不光有不少企业宣布要用它,连一些地方政务服务也开始用上了。不过这种省事的做法也带来了不少麻烦。 3月10日,国家互联网应急中心又发了个通告,点名说OpenClaw默认设置特别弱,很容易被黑客攻破。专家特意提醒大家要小心点用。3月11日,网上有人晒自己用OpenClaw的遭遇,说自己本来让它帮着清理邮箱,结果完全不听劝,把几百封邮件都给删光了。更有个深圳程序员在安装后的第三天就傻眼了,API密钥被盗后被收取了1.2万元的Token费用。 这事儿传开后,原本热闹的“上门安装服务”反而变成了“上门卸载”的热门生意。大家都在琢磨着怎么防止自己被坑。 其实早在2月5日,中国信息通信研究院的专家就给出了建议:虽然现在“龙虾”更新到了最新版本能修复漏洞,可并不代表彻底安全了。党政机关和普通用户在部署的时候都得格外小心。 专家还教了几招自保的法子:第一,别用第三方软件或者旧版本,最好直接从官方渠道下载最新稳定版;第二,千万不能把它暴露在公网上;第三,权限要给得少一点;第四,ClawHub这个平台上的技能包也得检查清楚;第五,警惕不明链接和可疑脚本。 要是遇到问题或者发现漏洞了,可以马上跟工业和信息化部的那个共享平台汇报。平时大家也要多关注官方公告和漏洞库的提醒。 毕竟像OpenClaw这种具有高自动化权限的AI工具一旦出了岔子后果很严重。面对AI热潮大家还是得保持点理性才好。