哎,最近网上那个叫“龙虾”的AI智能体特别火,大家都在讨论它,连产业界也在积极应用。不过呢,也有些朋友可能还不知道,这里面其实有不少安全隐患呢。比如,“龙虾”它其实就是OpenClaw的别称,因为图标像红色的龙虾才这么叫的。它能通过整合通信软件和大语言模型,在本地电脑上自动处理文件、收发邮件这些复杂任务。 说到安全问题,工业和信息化部之前还专门发了预警提示。中国信息通信研究院的副院长魏亮也接受了记者采访。记者问他,“龙虾”更新到最新版本了,是不是就没风险了?魏亮回答说,“龙虾”确实是OpenClaw的简称。更新官方最新版本能修复一些漏洞,但不代表彻底安全了。毕竟它是在本地运行的代理,自主性强,信任边界模糊,加上技能包市场还没严格审核,风险隐患挺多的。 举个例子吧,要是调用大语言模型时误解了指令,“龙虾”可能会不小心删除文件。要是用了有恶意代码的技能包,数据泄露和系统被控制就有可能发生。再加上如果没把实例暴露在公网、用管理员权限、明文存密钥这些配置问题,就算升了级也不一定安全。 魏亮还提到一个很重要的点:网络安全是动态变化的,黑客手段也在不断更新,“打补丁”和“升版本”不能一劳永逸。所以党政机关、企事业单位还有个人用户都要谨慎使用。如果发现安全漏洞或者攻击事件,可以向工业和信息化部的平台报送。 接下来说说具体怎么操作才安全吧。首先当然是用官方最新版本啦,一定要从正规渠道下载稳定版开启自动更新提醒;升级前先备份数据;还有别用第三方镜像或者旧版本。 然后是严格控制互联网暴露面,千万别把“龙虾”直接暴露到公网上。如果确实需要访问公网的话,可以通过SSH或者VPN限制访问源地址;最好用强密码或者硬件密钥认证方式;定期自查有没有暴露情况。 接着要坚持最小权限原则:部署时禁止用管理员账号;只给完成任务必需的最小权限;对删除文件、发送数据这些重要操作要二次确认或者人工审批;建议在容器或虚拟机里隔离运行形成独立权限区域。 再来说说技能市场的问题:ClawHub虽然方便但技能包可能有恶意代码风险;要谨慎下载;安装前仔细审查代码;千万别点要求下载ZIP、执行shell脚本或者输入密码的技能包。 防范社会工程学攻击和浏览器劫持也很重要:别乱逛陌生网站;别点来历不明的链接;可以启用浏览器沙箱、网页过滤器等扩展阻止可疑脚本;还可以启用OpenClaw速率限制和日志审计功能发现可疑行为马上断开网关重置密码。 最后建立长效防护机制:开启详细日志审计定期检查修补漏洞;结合主流杀毒软件进行实时防护;多关注OpenClaw官方公告和工信部的平台发布的预警信息及时处置风险。 总之啊大家在使用“龙虾”的时候一定要把安全底线把握在自己手里详细了解并落实安全配置规范要求养成好的安全习惯我们也会持续做好监测工作发现风险就会及时预警给大家提供必要的技术支持。