2月5日,工业和信息化部通过网络安全威胁和漏洞信息共享平台发布了警告,指出OpenClaw开源AI智能体在某些配置情况下存在高风险,可能导致网络攻击或信息泄露。3月10日,国家互联网应急中心再次发声,强调其默认设置薄弱,容易被人完全掌控系统,目前已出现提示词注入、误操作、插件投毒和漏洞四类大问题。 樊星根据中国信息通信研究院专家的建议整理了这份报告。专家指出,虽然“龙虾”已经更新到最新版本修复了已知漏洞,但风险依然存在。党政机关和企事业单位必须谨慎使用这种智能体,一旦发现漏洞或攻击迹象,应立即上报给工业和信息化部的共享平台。 网友们最近跟风“养龙虾”的热潮把这个话题推上了热搜。大家把OpenClaw的图标比作红龙虾,它通过调用通信软件和大语言模型,在电脑上自动处理文件、收发邮件和数据。虽然多家企业宣布支持这个模型,还有地方把它用在了政务服务上,但随之而来的隐患也让人担忧。 深圳的一位程序员在安装第三天就遭遇了噩梦:API密钥被盗导致凌晨收到1.2万元的Token账单。由于“龙虾”权限很高,一旦密钥泄露,AI就会在后台疯狂调用模型让用户不知不觉背上巨额消费。另一名网友把工作邮箱交给OpenClaw打理,结果它无视指令疯狂删除了数百封邮件。 蓝鲸新闻报道称“养龙虾”带火了上门安装服务,没过多久“上门卸载”又成了热门业务。面对这些乱象,不少人呼吁要保持理性别盲目跟风,还希望能尽快出台相关法律规范AI的开发和使用。 要想安全使用“龙虾”,用户需要从多个方面着手:从官方渠道下载最新稳定版并开启自动更新提醒;不要把实例暴露在公网上并限制访问源;严禁使用管理员权限账号只给必要的最小权限;谨慎下载ClawHub社区里的技能包;提防社会工程学攻击和浏览器劫持;启用详细日志审计功能并定期修补漏洞。 综合国家互联网应急中心、蓝鲸新闻、封面新闻等媒体的报道和网友评论,“养龙虾”确实带来了不少隐私与安全风险。用户在使用这些智能体的过程中必须详细了解安全配置规范并养成好习惯。