OpenClaw最近火得一塌糊涂,大家都叫它“龙虾”。2月5日,中国信息通信研究院副院长魏亮专门跟大家提了个醒。工信部专家指出,虽然“龙虾”已经把漏洞给修补好了,但这并不意味着把所有安全风险都给消除了。其实,“龙虾”就是个开源AI智能体,主要通过把通信软件和大语言模型给整合起来,然后在用户电脑上自主执行文件管理、发邮件、处理数据这些复杂活儿。虽然它干活儿厉害,可也给大家带来了不小的安全挑战。 魏亮讲得很直白,“龙虾”更新换代特别快,只要把官方最新版给装上去,确实能堵住已知的那些窟窿眼儿。但它能干的事儿实在太多了,比如自主做决定、随便调用系统资源。再加上这东西跟谁都能混在一起,信任边界不清不楚的,技能包市场又没人好好把关,所以还是有不少隐患。 用它的时候最让人头疼的是,“龙虾”有时候会把大语言模型给用错劲儿,没搞明白用户到底是咋想的,结果就去干了那些删除文件之类的坏事儿。还有那些被植入恶意代码的技能包,要是装上去了,不光数据会泄露,甚至连系统都能被人家给控制了。 哪怕你把软件给升级到最新版了,要是不采取点实际的防范措施,照样会被黑客盯上。无论是党政机关还是个人用户,用这种智能体都得慎之又慎。一旦发现“龙虾”有漏洞,或者碰上针对它的攻击了,赶紧去工信部的那个网络安全威胁和漏洞信息共享平台报个信儿就行。平台会按规定马上找人来处理。 最后魏亮强调了三条铁律:使用权限得最小化点、主动出击去防守、还得不停地去查账审计。