最近网上热传“养龙虾”的说法,其实就是指用ClawHub和OpenClaw这些开源AI工具。工业和信息化部那边刚发了预警,说它们要是默认配置或者用得不对,很容易招来黑客攻击或者信息泄露。这些工具以前叫Clawdbot、Moltbot,主要是帮大家建个能持续运行、自主做事的定制化助手。问题就出在部署的时候边界不清,这东西自己能一直在那运行、做决定、使唤系统和外部资源。要是没管权限、没审计、没加固,很可能被指令诱骗或者被坏人接管,干出格的事。 建议大家用之前先把公网暴露的情况查清楚,关掉没必要的访问,好好管凭证。要把身份认证、访问控制、数据加密这些机制补上,并且多看看官方给的加固建议。想安全“养龙虾”,专家给了六条招:第一是用最新的官方版,别用第三方镜像;第二是别把实例暴露到网上,还得管死谁能访问;第三是给账号最小权限;第四是别瞎用ClawHub上的技能包;第五是防着网页链接钓鱼;第六是得有长效防护的机制。 要多听工业和信息化部那边的安全威胁和漏洞平台发布的信息,哪怕是党政机关、企事业单位也都得结合杀毒软件来实时防护。碰到可疑的行为立马切断网络并重置密码。用户用这些AI助手的时候,可得仔细搞懂安全配置要求,养成个好习惯。