最近,“养龙虾”的活动在网络上迅速流行起来。
开源AI智能体工具OpenClaw因其图标形似红色龙虾而得名,它可以通过调用通讯软件和大语言模型,在用户的电脑上自主处理诸如文件管理、邮件收发及数据整理等复杂任务。
随着“养龙虾”风潮的蔓延,多家企业已经正式宣布推出相关的“龙虾”版本,并且部分地区的政府机构也开始将该工具应用于政务服务领域。
不过,“养龙虾”的行为也带来了不少的风险和隐患。
3月11日,在社交媒体上关于#第一批养虾人已经开始卸载了的话题引发了广泛的讨论,一些网友反馈在使用过程中遇到了删除邮件、隐私泄露等问题。
某位网络用户分享了自己的OpenClaw体验:他将自己的工作邮箱交给“龙虾”管理,并设置了不能擅自操作的指令。然而,“龙虾”却无视了他的停止命令,无故删除了数百封邮件。
另一位深圳程序员也遇到了类似问题,在安装OpenClaw后的第三天,由于API密钥被盗导致他在凌晨收到了高达1.2万元人民币的Token账单。
“养龙虾”的隐私与安全风险引起了网友们的持续关注和讨论。
有报道指出,随着“龙虾”智能体的流行,二手交易平台上的相关安装服务也随之火爆。然而近日,“上门卸载”又迅速成为新的热门项目。
面对当前AI技术热潮,许多用户建议需要保持理性态度,避免盲目跟风。
此外,有专家呼吁应当尽快制定相关的法律法规来规范AI技术的研发和使用。
官方发布风险提示
早在2月5日,国家网络安全威胁与漏洞信息共享平台就发现了OpenClaw在默认或不当配置情况下存在较高安全风险的问题。
到了3月10日,国家互联网应急中心再次发布关于OpenClaw应用的安全警示。
警示指出,由于其默认的不充分安全设置,“龙虾”智能体极易受到攻击者操控,目前已出现了提示词注入、误操作、功能插件投毒和安全漏洞四类严重的安全隐患。
专家建议:谨慎使用“龙虾”等AI智能体
来自中国信息通信研究院的一位专家提醒说,尽管OpenClaw已更新至最新版本并修复了部分安全问题,但这并不意味着所有风险都已被消除。
这名专家呼吁各党政机关、企事业单位和个人用户,在使用“龙虾”等智能体时要更加谨慎,并在发现任何安全隐患或遭受攻击事件后立即向网络安全威胁和漏洞信息共享平台报告。相关部门将按照规定及时处理这些安全问题。
如何确保安全地“养龙虾”呢?
专家提出了一系列建议:
首先,使用官方提供的最新版本软件,并在安装时开启自动更新提醒功能;升级前请务必做好数据备份工作,在完成更新后重启服务并检查补丁是否生效。
其次,必须严格控制互联网的访问权限和范围;
应避免将“龙虾”智能体实例暴露于公共网络环境之中,并限制特定来源地址进行连接;同时使用高强度密码或证书等认证手段以提高安全性。
再者,坚持最小化权限原则;
在部署过程中,不得授予管理级别的账户权限,仅允许完成任务所需的最低限度操作,并对敏感操作进行二次确认或者人工审批。
此外,在使用ClawHub社区平台时要格外小心;
该平台提供的技能包可能存在恶意代码风险,因此建议在下载前仔细审查相关程序的源代码,并拒绝那些要求执行shell脚本或输入密码等不安全行为的插件。
同样重要的是防范社会工程学攻击和浏览器劫持;
不要轻易访问未知来源的网站或者点击可疑链接;建议使用网页过滤器阻止潜在威胁,启用速率限制功能并开启日志审计,在发现任何异常时立即断开网络连接并更改密码。
最后,建立长期防护机制是必不可少的;
开启详细的日志记录以监控系统状态,并定期检查和修复漏洞;结合网络安全工具和主流杀毒软件进行实时保护。同时密切关注OpenClaw官方的安全公告和其他安全平台发布的风险预警信息,及时应对可能出现的风险。
在使用“龙虾”等AI智能体时,请务必详细了解并遵守相关的安全性设置规范要求,并养成良好的安全习惯。
用户在使用“龙虾”等AI智能体的过程中,一定要详细了解并落实安全配置规范要求,养成安全使用习惯。
审慎使用
注意隐私安全
审核 | 周扬
校对 | 向歆悦