这阵子“龙虾”这款AI智能体特别火,大家都在讨论怎么用才安全。我这就跟你唠唠。其实它本名OpenClaw,图标的造型挺像一只红龙虾,“龙虾”这个叫法是后来大家喊出来的。 它厉害就厉害在能在用户自己的电脑上,不用人盯着,自己就能帮着管文件、发邮件、处理数据,挺方便。不过中国信息通信研究院副院长魏亮也说了,这玩意儿执行能力太强,给用户带来的安全风险也不小。 因为它是在本地跑的程序,又能自己做决定、调用电脑资源,再加上市面上的技能包现在还没啥严格的审核门槛,信任边界挺模糊,这里面其实藏了不少隐患。比方说它调用大语言模型时,有可能把用户的指令搞混了,顺手把不该删的东西给删掉;要是用了带病毒的技能包,就更危险了,数据泄露或者系统被控制都有可能发生。 有人问是不是更新到最新版本就万事大吉了?魏亮说这也不行。官方最新版本确实能修修补补已知的漏洞,但这不代表就没风险了。网络安全这事儿就像猫捉老鼠,黑客的招数一直在变,光靠打补丁升级肯定不行。 那该咋整?魏亮给大家支了几招: 第一,官方最新版必须得装。下载的时候挑官网的稳定版用,把自动更新给开开。升级前最好把数据备份一下,升级完重启下服务,再看看补丁到底管用不管用。 第二,别把自家的“龙虾”直接放到公网上去暴露着。真要连互联网用的话,得限制只让特定的人能访问,密码得设得强壮点,或者用证书、硬件密钥来验证身份。平常也得自己查查有没有这种漏洞被人钻了空子。 第三,权限得给得小气点。千万别用管理员账户去跑这个程序,只给它干活必需的最小权限就行。最好把它关在容器或者虚拟机里单独隔离着运行。 第四,对ClawHub社区上那些技能包得小心点。这个平台是专门给“龙虾”找技能用的,但上面的东西有时候会被人下毒。你要小心下载前先翻翻代码看看有没有猫腻。 第五,别轻易点不明链接。遇到可疑的网站或邮件链接千万别手贱点进去。要是觉得不对劲立马断网、改密码才安全。 第六,要养成长期防护的习惯。开个详细的日志记录功能,时不时检查一下有没有漏洞补上了。平时也得多盯着工业和信息化部那边的漏洞信息平台看看有没有新的预警出来。 魏亮最后还说,大家用“龙虾”这种AI智能体的时候得自己把安全底线守住。仔细看看配置说明,养成好的使用习惯才是王道。有关部门也会一直盯着监测呢,要是发现了风险就赶紧发预警出来提醒大家,给大家提供点技术上的支持。