国家互联网应急中心最新提醒说,“养龙虾”这个词千万别信,这事儿AI的风险太大了。现在OpenClaw(就是那个叫Clawdbot或Moltbot的)特别火,国内云平台都有一键部署的服务,主要就是听人话做事。为了能自己干活,它被给了特别大的权限,像看本地文件、调用API、装插件这种事儿它都能办。 但问题就出在这儿,这个软件天生就太“脆”了,配置上漏洞一大堆。要是有人利用它的这些弱点发起攻击,拿到了系统的控制权那就是分分钟的事。早些时候因为没装好、没用好,已经惹出了不少大乱子。 有一种叫“提示词注入”的风险特别吓人。攻击者在网页里藏着歹毒的命令,诱骗OpenClaw去读那个网页,结果就有可能把系统的密钥泄露出去。还有一个“误操作”的危险也不小。因为它有时听不懂人说的话或者理解错了意思,很容易就把重要的邮件、数据给全删了。 最危险的是那些装上去的功能插件。很多人发现有些插件其实是坏的或者带病毒的。要是你装上了这些插件,可能就会发生密钥被盗、木马后门被植入的事儿,把你的设备变成给别人干活的“肉鸡”。 另外安全漏洞也很让人心慌。到现在为止已经被曝出了好多高中危漏洞了。要是这些洞被黑客利用起来,不光是隐私数据泄露那么简单,像金融、能源这些重要行业的核心机密也保不住了。 为了保命还是少碰为妙。实在要用的话也得小心:首先得把它的默认管理端口藏起来,千万别直接暴露在公网上;把环境给隔离开来,用容器啥的限制它的权限;密钥千万别写在环境变量里;最好把操作日志都记下来;最后记得随时关注更新补丁。