最近开源AI智能体“龙虾”特别火,它利用红龙虾的形象和通信软件结合大语言模型,让用户能在本地电脑上执行各种复杂任务。不过这个东西的安全性大家都挺担心的,工业和信息化部之前也发布了预警提示,魏亮作为中国信息通信研究院的副院长接受了采访。 记者问他,升级到最新版本是不是就没风险了?魏亮说不是,“龙虾”其实就是OpenClaw,它的特点是能自主决策和调用系统资源,加上现在很多技能包没经过严格审核,确实有很多隐患。就算你把软件升级到最新版了,也不能保证百分之百安全。 如果不注意防范,“龙虾”可能会被黑客利用。比如它可能误解你的命令,乱删文件;或者下载带毒的技能包导致数据泄露;还有因为配置不当暴露在网上,或者明文存密钥之类的问题都可能被攻击。黑客手法一直在变,光靠打补丁和升版本可不行。 对于党政机关、企事业单位和个人用户来说,一定要谨慎使用这种智能体。要是发现有漏洞或者被攻击的事,赶紧向工业和信息化部那个平台报告。 怎么才能用好“龙虾”?魏亮说了六个关键点。第一是用官方最新版,别下第三方镜像或旧版。第二是严格控制互联网暴露面,别直接连上公网,要用SSH或者VPN。第三是坚持最小权限原则,别用管理员权限账号。第四是谨慎使用ClawHub上的技能包,看到要下ZIP或者输入密码的千万别点。第五是防范社会工程学攻击和浏览器劫持,别随便点不明链接。第六是建立长效防护机制,定期检查漏洞和日志。 总而言之,安全使用网络产品要做到最小权限、主动防御和持续审计。大家得记住这些建议,尽量减少被攻击的风险。