大家都在热议最近火出圈的“龙虾”,其实它就是AI智能体OpenClaw的民间俗称。这个家伙通过整合通信软件和大语言模型,能在用户电脑上自主搞文件管理、收发邮件之类的复杂活儿。因为这玩意儿执行能力很强,国内产业界和用户们都在用它做实际项目。不过,中国信息通信研究院副院长魏亮也提醒大家,别光顾着图新鲜,得提防着安全问题。 最近工信部网络安全威胁和漏洞信息共享平台刚发了个警告,给这种能自主运行的AI提了个醒。虽说官方已经把版本更新到了最新,能把已知的漏洞补上,但安全风险可不是一升版本就能完全消失的。因为这种本地运行的AI代理信任边界模糊,它自己能决定做什么,还能调用系统资源。再加上现在技能包市场鱼龙混杂,很多技能包都没经过严格审核。 比如万一它调用大语言模型时误解了你的指令,或者你不小心安装了有恶意代码的技能包,可能会导致数据泄露甚至系统被人控制。就算你升级到了最新版,如果不采取针对性措施,只要把实例暴露到互联网上、用管理员权限运行、或者明文存密钥,照样容易被黑客盯上。 怎么用才安全呢?魏亮建议大家先把官方最新稳定版从正规渠道下载下来,千万不能用第三方镜像或旧版本。部署的时候绝对不要把“龙虾”实例直接放到公网上去,实在要连网就用SSH或者VPN。要是非用管理员账号不可,那就只给它干活必须的最小权限,对删文件、发数据这些大事儿必须二次确认或者得人工审批。 大家平常上网也要小心点社会工程学攻击和浏览器劫持。千万别乱点不明链接,最好用浏览器沙箱或者网页过滤器挡住可疑脚本。还有那个专门给“龙虾”提供技能包的ClawHub社区平台也很重要,下载技能包前最好先查一下代码,坚决拒绝任何要求“下载ZIP”、“执行shell脚本”或者“输入密码”的技能包。 最后再次提醒大家,网络安全这事儿可不能掉以轻心。党政机关、企事业单位和个人都得养成良好的安全使用习惯。要是发现什么安全漏洞或者攻击事件,第一时间上报给工信部网络安全威胁和漏洞信息共享平台。按照《网络产品安全漏洞管理规定》的要求,平台会及时组织处理。 二审的是陈航三审的是赵竞。(此处删去关于“龙虾”的相关官方提醒)