多国都在赶紧提醒大家,小心别被“爪”给害了。那个叫“龙虾”的AI工具“OpenClaw”,因为特别会干复杂的活,能不断添加新技能,今年初在开源圈子里一下子火了起来。可谁能想到,这红火劲还没过,就被查出来一大堆安全隐患。现在,好多监管机构和科技公司都出来发了“规矩”。就在4月1日,中国国家知识产权局发了个警告说,“OpenClaw”这类工具默认的安全配置本来就很弱,容易招来大麻烦。而且,要是用它来写专利申请文件,那风险可就更多了。美国微软公司那边也说了,用这个工具可能会遇到两种坏东西:一种是恶意的插件,另一种是通过“间接提示词注入”来捣乱。 这玩意儿之所以能干活,全靠社区平台上的技能插件。绿盟科技公司最近的报告指出,如果不对代码进行严格审查和签名验证,坏人就能发布包含恶意提示词和代码的插件来下毒。只要你点一下就能加载上这些东西,攻击者就能在你电脑里长期待着不走。而且现在注册一个非实名的GitHub账号就能上传自定义插件,门槛低得很。美国派拓网络公司2月份查过数据,发现光是针对“OpenClaw”的恶意插件就有800多个。 至于这玩意儿能不能放到公司里用,“众击”公司写文章分析了一下。要是员工在公司设备上装了这个东西或者连上了公司的系统,要是配置不当、防护不严,它就可能变成一个“后门”,被人用来干坏事。业内专家建议啊,个人和公司都别在平常办公或者存机密文件的电脑上用这玩意儿。如果实在想用,必须得用权限管理、沙箱隔离、不停地盯着看,还有全流程的安全防护这些严格的措施才行。 3月22日,中国国家互联网应急中心牵头发了个安全使用的指南。之前工业和信息化部那边组织相关单位也提出了“六要六不要”的建议来防风险。 总的来说,“OpenClaw”虽然挺厉害,但也确实很危险。大家在享受它的便捷时可不能掉以轻心,得好好注意安全才行。