近期,一款名為OpenClaw的開源AI智能體因圖標形似紅色龍蝦,被用戶親切稱為“龍蝦”,在技術圈引發廣泛關注。該工具通過整合通信軟件與大語言模型,可自主完成文件管理、郵件收發、數據分析等復雜任務,但其安全風險也隨著使用場景的擴展逐漸顯現。中國信息通信研究院專家提醒,盡管開發者已通過版本更新修復部分已知漏洞,但網絡安全威脅的動態性決定了風險無法被徹底消除。
工業和信息化部網絡安全威脅和漏洞信息共享平臺此前已發布風險提示,指出“龍蝦”智能體的自主決策機制與系統資源調用能力,疊加其技能包市場審核機制不完善、信任邊界模糊等問題,可能為黑客提供可乘之機。專家強調,單純依賴補丁更新或版本升級無法構建長期安全防線,用戶需建立多維防護體系。
針對黨政機關、企事業單位及個人用戶,專家提出六項具體防護建議:一是優先通過官方渠道獲取最新穩定版本,升級前備份數據并驗證補丁有效性,避免使用非官方鏡像或舊版軟件;二是嚴格限制互聯網暴露面,禁止將智能體實例直接暴露于公網,通過強密碼、硬件密鑰及IP地址白名單強化訪問控制;三是落實最小權限原則,禁用管理員賬號部署,僅授予任務必需權限,并對敏感操作設置二次確認或人工審批流程。
在技能包使用方面,專家特別提醒用戶警惕ClawHub社區平臺中的潛在風險。由于部分技能包可能包含惡意代碼,建議安裝前審查源代碼,拒絕執行任何要求下載壓縮包、運行腳本或輸入密碼的操作。用戶需防范社會工程學攻擊,避免點擊不明鏈接或訪問可疑網站,可通過啟用網頁過濾器、設置OpenClaw速率限制及日志審計功能降低風險。
長效防護機制的建立同樣關鍵。專家建議用戶開啟詳細日志記錄,定期檢查系統漏洞,結合殺毒軟件與網絡安全工具進行實時監控。同時,需持續關注OpenClaw官方安全公告及工信部漏洞庫預警信息,確保第一時間響應新發現的安全威脅。通過技術防護與用戶習慣的雙重強化,方能在享受AI便利的同時最大限度降低風險。
