最近这几个月,那个叫“龙虾”的AI智能体 OpenClaw 可是火得不得了。不少人都把它拿出来养着玩,但就在这次热点起来之前,也就是一个月前,工业和信息化部的网络安全威胁和漏洞信息共享平台已经给大家伙儿发过预警了,专门提示这个AI智能体存在安全风险。3月10日晚上,工业和信息化部的专家再次站出来强调,虽说现在“龙虾”的最新版本已经把知道的漏洞都给补上了,但这并不代表就能高枕无忧了。 比如在给大语言模型发送指令时,可能会把意思理解错了,进而做出删除文件这类的有害操作;又或者是下载了被人恶意植入了代码的技能包,这就可能导致数据被泄露甚至系统被黑客控制。就算你升级到了最新版,要是不注意配置的问题,像把实例直接暴露在互联网上、用管理员账号登录、把密钥用明文存着这些坏习惯不改,还是很容易招来攻击的。 中国信息通信研究院的副院长魏亮就特别提到了这些问题。他建议大家在部署智能体时,最好是从官方渠道直接下载最新最稳定的版本。千万不能把“龙虾”暴露在公网里,还得限制一下访问的来源地址,最好用强密码或者是证书、硬件密钥这些认证方式来加把锁。 绝对不能用管理员的权限去操作,只需要给它最少的权限就能干活就行。遇到像删除文件、发送数据、修改配置这种重要的操作,一定要再确认一下或者请人审批一下。党政机关和企事业单位还有个人用户,平时还得借助网络安全防护工具、主流杀毒软件进行实时的监控。 大家平时一定要多关注 OpenClaw 官方发布的安全公告,还有工业和信息化部那个漏洞平台的预警消息。发现了问题就得赶紧处理掉,这样才能把安全风险降到最低。总之,在使用任何网络产品的时候,光想着升级更新还不够,“最小权限”、“主动防御”、“持续审计”这几个原则必须坚持住。