近期,一款名為OpenClaw的開源AI智能體因圖標形似紅色龍蝦,被用戶親切地稱為“龍蝦”,在網絡上引發廣泛關注。這款工具通過整合通信軟件與大語言模型,能夠在用戶設備上自主完成文件管理、郵件處理、數據分析等復雜任務,其自主決策和資源調用能力吸引了眾多用戶。然而,中國信息通信研究院專家近日發出警示,盡管“龍蝦”已更新至最新版本并修復了部分已知漏洞,但其安全風險并未完全消除。
專家指出,“龍蝦”的自主特性與模糊的信任邊界,疊加技能包市場審核機制缺失的現狀,使其面臨多重安全隱患。網絡安全領域具有動態性,黑客攻擊手段持續升級,單純依賴版本更新或補丁修復難以形成長期有效的防護。此前,工業和信息化部網絡安全威脅和漏洞信息共享平臺已針對該工具發布過風險提示,提醒用戶保持警惕。
針對安全使用問題,專家提出“最小權限、主動防御、持續審計”三大核心原則,并給出具體操作建議:用戶應通過官方渠道獲取最新穩定版本,開啟自動更新提醒,并在升級前備份數據、驗證補丁效果;部署時需避免將實例暴露于公網,采用強密碼、硬件密鑰等認證方式,同時限制訪問源地址;權限分配應遵循“最小化”原則,僅授予任務必需權限,并對敏感操作設置二次確認或人工審批流程。
技能包市場是另一大風險點。作為“龍蝦”用戶專屬社區平臺,ClawHub中的技能包可能存在惡意代碼注入風險。專家建議用戶審慎下載,安裝前審查代碼邏輯,拒絕任何要求執行腳本、輸入密碼或下載壓縮包的技能包。用戶需防范社會工程學攻擊,避免點擊可疑鏈接、訪問不明網站,并啟用網頁過濾器、速率限制等功能,遇到異常行為立即重置密碼并斷開網絡連接。
為構建長效防護機制,用戶應啟用詳細日志審計功能,定期檢查系統漏洞,結合殺毒軟件與網絡安全工具進行實時監控。同時,需持續關注OpenClaw官方安全公告及工業和信息化部漏洞庫預警信息,及時響應潛在風險。專家強調,安全使用AI智能體不僅依賴技術更新,更需用戶主動落實配置規范,培養良好的操作習慣。
