近日,互聯(lián)網上掀起一股“養(yǎng)龍蝦”熱潮。
由于開源AI智能體工具OpenClaw圖標是一只紅色龍蝦,被大家稱為“龍蝦”。它通過整合調用通信軟件和大語言模型,在用戶電腦上自主執(zhí)行文件管理、郵件收發(fā)、數據處理等復雜任務。
隨著“養(yǎng)龍蝦”風潮擴散,多家企業(yè)官宣“龍蝦”模型,還有部分地區(qū)已將其應用到政務服務場景中。
然而,“養(yǎng)龍蝦”也存在不少風險和隱患。
3月11日,相關話題#第一批養(yǎng)蝦人已經開始卸載了#登上熱搜,引發(fā)網友熱議。有網友反饋,“養(yǎng)龍蝦”過程中,出現了亂刪郵件、隱私泄露等問題。
據封面新聞,有網友在網絡上分享自己使用OpenClaw的經歷:他將自己的工作郵箱交給了OpenClaw打理,指令是:“檢查收件箱,提出你想歸檔或刪除的郵件。”他特意附加了“未經許可不要有任何操作”的限制。然而,“龍蝦”無視該網友連續(xù)發(fā)出的“停下來”的指令,瘋狂地刪除了數百封郵件。
據新消費日報,深圳一名程序員分享在安裝OpenClaw的第三天,因API密鑰被盜,在凌晨收到了高達1.2萬元的Token賬單。由于OpenClaw具有極高的自動化權限,一旦密鑰泄露,AI便可能在后臺瘋狂調用模型,讓用戶在不知不覺中背負巨額消費。
“養(yǎng)龍蝦”的帶來的隱私與安全風險,正持續(xù)引發(fā)網友擔憂。
據藍鯨新聞,OpenClaw爆火后,也帶火了二手交易平臺的“龍蝦上門安裝服務”。然而,近日,上門卸載又迅速成為新的熱門業(yè)務。
對于當下的AI熱潮,有網友認為,面對新興AI工具需保持理性,避免盲目跟風。
還有網友呼吁,應盡快出臺相關法律法規(guī),對AI技術的開發(fā)、使用進行規(guī)范:
官方發(fā)布風險提示
2月5日,工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺監(jiān)測發(fā)現OpenClaw開源AI智能體部分實例在默認或不當配置情況下存在較高安全風險,極易引發(fā)網絡攻擊、信息泄露等安全問題。
3月10日,國家互聯(lián)網應急中心再次發(fā)布關于OpenClaw安全應用的風險提示。
提示稱,OpenClaw默認安全配置脆弱,易被攻擊者獲取系統(tǒng)完全控制權,目前已出現提示詞注入、誤操作、功能插件投毒、安全漏洞四類嚴重安全風險。
專家提醒:審慎使用“龍蝦”等智能體
中國信息通信研究院專家提示,盡管“龍蝦”智能體已經更新到最新版本,能修復已知的安全漏洞,但并不意味著完全消除安全風險。
專家呼吁,黨政機關、企事業(yè)單位和個人用戶要審慎使用“龍蝦”等智能體。在發(fā)現“龍蝦”等智能體的安全漏洞,或者針對“龍蝦”等智能體的安全威脅和攻擊事件時,可以第一時間向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送,平臺將按照《網絡產品安全漏洞管理規(guī)定》要求,及時組織處置。
如何安全“養(yǎng)龍蝦”呢?
專家建議,從以下幾方面來安全使用“龍蝦”智能體:
第一,使用官方最新版本。
在部署時,要優(yōu)先從官方渠道下載最新穩(wěn)定版,并開啟自動更新提醒。在升級前備份數據,升級后重啟服務并驗證補丁是否生效。切勿使用第三方鏡像或舊版。
第二,嚴格控制互聯(lián)網暴露面。
一定不要將“龍蝦”智能體實例暴露到公網,并且限制訪問源地址,使用強密碼或證書、硬件密鑰等認證方式。
第三,堅持最小權限原則。
在部署時,嚴禁使用管理員權限的賬號,只授予完成任務必需的最小權限,對刪除文件、發(fā)送數據、修改系統(tǒng)配置等重要操作進行二次確認或人工審批。
第四,謹慎使用技能市場。
ClawHub是專為“龍蝦”智能體用戶提供技能包的社區(qū)平臺,其中的技能包存在惡意投毒風險,建議審慎下載,并在安裝前審查技能包代碼,拒絕任何要求“下載zip”“執(zhí)行shell腳本”或“輸入密碼”的技能包。
第五,防范社會工程學攻擊和瀏覽器劫持。
不要隨意瀏覽來歷不明的網站,避免點擊陌生的網頁鏈接。建議使用網頁過濾器等擴展阻止可疑腳本,啟用OpenClaw速率限制和日志審計功能,遇到可疑行為立即斷開網關并重置密碼。
第六,建立長效防護機制。
啟用詳細日志審計功能,定期檢查并修補漏洞,黨政機關、企事業(yè)單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件等進行實時防護。要定期關注OpenClaw官方安全公告、工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警,及時處置可能存在的安全風險。
用戶在使用“龍蝦”等AI智能體的過程中,一定要詳細了解并落實安全配置規(guī)范要求,養(yǎng)成安全使用習慣。
審慎使用
注意隱私安全
審核 | 周揚
編輯 | 王曉嬌
校對 | 向歆悅
