社交平台近日掀起"养龙虾"热潮,这是用户对部署OpenClaw智能体的昵称;与传统工具只提供文字建议不同,这类智能体强调"可执行、可调用、可接管",获得设备访问权限后能自动操作本地软件、调用系统资源,完成文件整理、邮件收发等具体工作。一些平台甚至出现"上门安装""远程安装"服务,价格从数十元至数百元不等,反映出市场需求快速增长,但同时也暴露出使用门槛低、安全认知不足的问题。 热度背后有两个驱动力。一方面,智能体技术从"能说"向"能做"加速演进,用户对提升效率、减少重复劳动的需求强烈。另一方面,开源生态降低了工具获取成本,"个人数字员工"快速扩散。但问题在于,智能体与邮箱、网盘、账号、文件等核心资产深度绑定,部署过程涉及端口开放、权限授予、密钥保存和第三方组件调用。若用户为求快速可用而采用默认设置、弱口令或将服务暴露在公网,安全风险会大幅放大。更值得关注的是,部分用户缺乏运维能力,转而购买代装服务,若服务提供者资质不明、操作不规范,可能引入凭证泄露、后门植入、权限滥用等隐患。 工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,OpenClaw开源智能体在默认或不当配置下存在较高安全风险,容易引发网络攻击和信息泄露。对个人用户而言,风险表现为邮箱、网盘、社交账号被接管,隐私文件外泄,甚至资金损失。对企业和机构而言,若在办公网络部署智能体并授予较高权限,可能导致数据外传、业务系统被操控、供应链攻击入口扩大。更危险的是,智能体的自动化执行能力若被恶意利用,可在短时间内完成批量操作,扩大攻击范围和处置难度。 针对这些风险,主管部门建议在部署OpenClaw时充分核查公网暴露情况、权限配置和凭证管理,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计机制,持续关注官方安全公告。业内人士继续建议:一是遵循最小权限原则,明确智能体可访问的文件目录、应用范围和操作边界,避免"一次授权、全盘接管";二是强化凭证安全,密钥和口令应采用安全存储和定期轮换,避免在脚本和配置文件中明文保存;三是谨慎对待代装和远程协助服务,选择可信渠道,安装后立即自行更换密码、检查开放端口和权限清单;四是建立日志和告警机制,保留关键操作审计记录,异常情况及时止损;五是企业用户应纳入统一安全基线和资产管理,做好隔离部署、分级授权和数据脱敏,必要时开展安全测试和应急演练。 从发展趋势看,智能体将成为生产生活的重要工具,在办公协同、内容生产、软件测试、客户服务等领域应用前景广阔。但越是"能动手"的工具,越需要在设计和使用环节同步强化安全治理。推动智能体健康发展,既要鼓励技术创新和开源共享,也要把"可控、可管、可审计"作为底线要求,通过安全默认配置、清晰权限提示、标准化部署指南和更完善的合规与风险评估体系,让新技术更好地服务于效率提升和产业升级。
OpenClaw从网红工具到安全风险的转变,为整个AI产业敲响了警钟;技术进步不应以牺牲安全为代价,而应在创新与防护之间实现平衡。当前,从用户到企业再到监管部门,都需要树立更加成熟的安全理念,在拥抱新技术的同时筑牢安全防线。只有这样,AI工具才能真正成为提升效率的助手,而非隐藏风险的隐患。