多国监管部门与企业都在提醒大家要注意“开放之爪”的安全问题。这款俗称“龙虾”的AI智能体工具“OpenClaw”凭借强大的自主任务执行能力和可扩展的技能包在开源社区里迅速蹿红。但在3月22日,中国国家互联网应急中心等机构发布了一份安全使用指南,指出若配置不当、安全保护缺失,它很可能会变成企业系统的“后门”。 就在同一天,新华社报道了这件事。过去这几个月里,“开放之爪”接连被曝出存在多个安全隐患。 4月1日,中国国家知识产权局也出来提示风险,说这类智能体默认的安全配置很脆弱,还可能导致写专利申请文件时的各种风险。美国微软公司的安全团队给出了报告,说明用“开放之爪”有两种攻击风险:一是恶意技能插件,二是间接提示词注入。 绿盟科技公司的报告指出,“开放之爪”依赖社区平台上的技能插件来执行任务。要是没有严格的代码审计和签名校验,攻击者就能通过发布带恶意代码的插件进行“代码投毒”。用户只要点一下就可能加载了这些插件,让攻击者在系统里获得持久驻留的能力。 美国派拓网络公司2月发的数据显示,研究人员已经在相关平台上发现了超过800个针对“开放之爪”的恶意技能插件。“众击”公司的文章提到,员工在企业设备上部署这个工具可能会带来很大的隐患。 “六要六不要”的建议是由工业和信息化部网络安全威胁和漏洞信息共享平台组织相关机构提出来的。业内人士建议大家不要在常规办公和涉密设备上运行“开放之爪”,如果确实要部署就得采取权限治理、沙箱机制等严格的管控措施。