近期,一款名為“龍蝦”的開源AI智能體(OpenClaw)在產業界和用戶群體中引發廣泛關注。這款以紅色龍蝦為圖標的工具憑借其強大的本地任務執行能力,迅速成為熱門應用。然而,隨著用戶規模擴大,其安全風險也引發多方討論。工業和信息化部網絡安全威脅和漏洞信息共享平臺此前已發布風險提示,針對如何安全使用該工具成為公眾焦點。
中國信息通信研究院副院長魏亮在接受采訪時指出,“龍蝦”智能體通過整合通信軟件與大語言模型,可在用戶設備上自主完成文件管理、郵件處理等復雜操作。這種特性雖推動了AI生態發展,但也帶來新的安全挑戰。他強調,盡管官方持續通過版本更新修復已知漏洞,但因其自主決策、調用系統資源等特性,加之技能包市場審核機制尚不完善,用戶仍需警惕多重風險。
具體而言,風險可能源于三個方面:一是大語言模型對指令的誤讀可能導致誤刪文件等操作;二是未經審核的技能包可能暗藏惡意代碼,引發數據泄露或系統入侵;三是網絡配置不當,如暴露實例于公網、使用弱密碼或明文存儲密鑰等,即使更新至最新版本仍可能被攻擊。魏亮特別提醒,網絡安全環境動態變化,不能依賴單一版本更新作為永久防護。
用戶需謹慎對待技能包市場。作為“龍蝦”官方社區平臺的ClawHub雖提供擴展功能,但部分技能包可能存在惡意代碼。建議安裝前審查代碼邏輯,拒絕任何要求下載壓縮包、執行腳本或輸入密碼的技能包。同時,應防范社會工程學攻擊,避免點擊不明鏈接,使用瀏覽器沙箱隔離可疑腳本,并啟用速率限制和日志審計功能。
魏亮進一步強調,建立長效防護機制至關重要。用戶應定期檢查系統漏洞,結合殺毒軟件與網絡安全工具進行實時監控,并持續關注官方安全公告及漏洞平臺預警信息。他呼吁,黨政機關、企事業單位及個人用戶均需提高安全意識,將防護措施落實到操作細節中,共同維護網絡空間安全。
