3月10日这天,国家互联网应急中心给OpenClaw这个开源的AI智能体框架开了个紧急会议,直接把它的默认配置和高权限问题给曝光了。说真的,只要把这个东西部署到学校或者办公环境里,搞不好校园网、电脑甚至整个内网就会被远程控制,数据也会泄露。为了堵这个漏洞,3月11日工信部直接出手,把“六要六不要”的硬核指南发了出来。 高校那边反应最快,直接连夜就把OpenClaw列进了“高危软件”名单。他们给学校的教职工发了最严厉的三条铁律:在生产环境和办公电脑上绝不能装;敏感信息绝对不能透露;公网访问也绝不能开放。有一所高校的通知更是直接点名“龙虾”,还要求大家签安全承诺书,把责任都落实到个人头上。也有学校没那么严,只是温柔地劝大家别跟风玩这种东西,特别是别把学生的个人信息和科研数据当成实验材料。 券商那边也没闲着。界面新闻梳理发现,好多头部券商私下都群发了通知,禁止员工私自安装“龙虾”。有员工晒出的内部邮件特别直白:公司电脑、VPN还有云盘里绝对不能装OpenClaw,谁装谁负责。有些券商甚至还搞了“摸排加自查”的双轨制,对违规的人直接通报批评并追责。 社交平台也在盯着呢。他们专门升级了巡查机制,重点打击那些借着“龙虾”的热度搞诈骗、引流或者植入恶意程序的行为。只要发现有人这么干,马上封号删内容,还得通报给公安机关。 说实话,OpenClaw的爆火也算是给大家上了一课:技术本身没罪,但用的时候一定要守住边界。创新不能拿隐私和安全当牺牲品。下载前多问问“安全吗”,部署前多想想“如果被攻击怎么办”,这样才能让AI真的服务于人类,而不是变成风险的放大器。 工信部的“六要六不要”虽然说得很复杂,但道理其实很简单:要用官方最新版的软件,别碰那些乱七八糟的第三方镜像;要把互联网暴露的接口限制好,别让实例裸奔在外面;要坚持最小权限原则,别用管理员账号去部署;浏览ClawHub上的技能包时要小心谨慎,见了ZIP和shell的文件也别瞎点;给浏览器装上沙箱和网页过滤器才安全;定期打补丁还得开日志审计功能别嫌麻烦。 总结下来就是一句话:想玩“龙虾”,先给自己绑上安全保险绳才行。