最近啊,有个叫做OpenClaw的开源AI智能体在网上特别火,图标还被设计成了龙虾,大家都开玩笑说它是“小龙虾”。这东西能帮咱们自动化处理文件管理、邮件收发还有数据分析这些活儿,就像是个24小时不睡觉的私人助理,特别实用。很多个人开发者和技术爱好者都纷纷把它部署到自己的电脑上试了一下。针对这个“养龙虾”的热潮,小盾未来安全研究院的高级研究员钟成专门接受了《科技日报》的采访。他说,OpenClaw虽然功能强大,给用户带来了很多便利,但是在部署和使用过程中还是存在不少安全风险。 钟成还介绍了几个具体的风险点:首先是端口配置问题。OpenClaw默认或者示例配置里可能会开一些网络服务,要是用户直接把它暴露在公网上又没有设置访问控制,那就容易被黑客远程接管或者非法访问设备。然后是系统权限设置的问题。OpenClaw执行任务需要读取文件、调用系统这些权限,如果安装的时候给了过高的权限,一旦遇到程序异常或者恶意指令,本地的数据就有可能被误删。 此外,第三方插件也是一个隐患。非官方渠道的插件可能会藏着木马或者恶意程序。再加上OpenClaw可以阅读屏幕和文档,如果它碰到了包含恶意指令的网页或者邮件,就可能触发“提示词注入”攻击,诱导它去执行转账或者删除这类非法操作。还有网上那些所谓的“收费代装”服务也得小心,别因为远程协助直接把电脑控制权给丢了。 最后就是敏感信息存储的问题了。用户可能会把API密钥、账号密码这些信息写到配置文件里去。如果没有加密或者隔离存储的措施,这些信息很容易泄露出去。一旦被盗取,可能就是“一盗即空”的局面。 钟成给个人用户提了几点建议:一是环境隔离。尽量在虚拟机或者闲置设备里运行OpenClaw,别在存着商业机密或者隐私的主力机上直接用。二是权限控制。遵循最小权限原则,只给完成任务必需的权限就行了。三是严控网络。别把它暴露在公网上,远程访问的话用SSH这种加密通道就行。四是插件审慎。尽量从官方渠道下载插件,对那些要求执行敏感操作的第三方插件要格外警惕。 钟成还提到开源AI工具的普及确实能推动技术创新,但大家在用的时候一定要有安全意识并且采取相应措施。小盾未来安全研究院会一直关注这方面的问题,给大家提供专业的支持,一起打造一个安全稳定的网络环境。