“养虾人”们最近心情很复杂,都有点睡不着觉了,就怕哪天打开电脑,突然发现自己被删了什么。更有人为了图省事,给商家199元让远程帮忙卸载。这事儿还得从开源AI智能体OpenClaw说起,因为它长得像个龙虾,大家就叫它“龙虾”。现在有人把它安到自家电脑上,可这事也惹来不少麻烦,一是担心安全问题,二是怕费用太高。 很快大家就发现网上有教程教怎么卸载这玩意儿。3月10日那天,网上更是冒出了不少“代卸载”的生意。有个IP地址显示在上海的卖家报价挺实在:上门服务收299元(仅限上海),远程服务只要199元。他们还承诺“安全彻底,无残留”。 工信部的专家早就提醒大家得小心点用这个“龙虾”。中国信息通信研究院的人今天又站出来说了,虽说官方把“龙虾”更新到最新版了,能把已知的漏洞补上,但这并不代表就一点风险都没有了。之前工业和信息化部的网络安全威胁和漏洞信息共享平台就发过预警提示。 “龙虾”是个能干活的好帮手,它能调用通信软件和大语言模型,在电脑上自己处理文件、收发邮件、计算数据。大家都很喜欢它,觉得它推动了中国AI智能体生态的发展。 不过专家也说了,“龙虾”能这么聪明也是有代价的。因为它能自己做决定、还能调用系统资源,再加上大家对它信任边界不明确、技能市场又没人严格审核,这里面的风险隐患可不少。 比如它在听命令的时候可能听错了,不小心就把文件删了;或者你装的技能包里藏了坏东西,导致数据泄露甚至系统被别人控制。 虽说现在版本升级能解决已知问题,但如果你把它暴露在网上、用管理员权限登录、或者把密码明文存着,就算是最新版本也不安全。网络安全这东西是动态变化的,黑客也在不断进化,不能光靠“打补丁”来一劳永逸。 专家呼吁大家别轻易用这个智能体。要是发现漏洞或者遇到攻击了,可以马上告诉工业和信息化部的那个平台。 要想安全地用“龙虾”,大家可以试试这几招: 第一,用官方最新版。部署的时候最好从官网上下最新稳定版,把自动更新提醒开着。升级前先备份数据,升级完重启验证补丁到底有没有生效。千万别用第三方镜像或者旧版。 第二,少露脸少暴露。千万别把实例暴露到公网上头,限制一下访问的来源地址,用强密码或者证书、硬件密钥来认证。 第三,给它最小的权限。千万别用管理员的账号去部署它,只给它完成任务必须的权限就行。对于删除文件、发数据、改系统配置这些重要操作要二次确认或者人工审批一下。 第四,技能市场别乱点。ClawHub上有很多技能包的社区平台,但里面可能有毒药,下载之前一定要审查代码。千万别点那些要求你“下载zip”、“执行shell脚本”或者“输入密码”的技能包。 第五,防范那些骗人的把戏和劫持浏览器的攻击。别乱点不明来历的网站和链接。可以装个网页过滤器阻止可疑脚本,开一下速率限制和日志审计功能,遇到可疑的情况赶紧断开网关并重置密码。 定期看看详细日志审计功能记录的东西,修补一下漏洞。党政机关、企事业单位和个人用户可以搭配网络安全防护工具和杀毒软件一起实时防护。 一定要多关注OpenClaw官方的安全公告和工业和信息化部那个漏洞平台发布的预警提示,及时处理可能存在的风险。大家在使用的时候一定要弄懂这些安全配置要求,养成个安全使用的好习惯。