大家注意了,“龙虾”这个AI智能体最近在国内非常火爆,好多产业界和普通用户都在用。可是大家一定要小心了,这个智能体的安全问题也是备受关注。我们采访了中国信息通信研究院的副院长魏亮,他给我们介绍了一些相关情况。他说,“龙虾”实际上是OpenClaw的别名,因为图标是红色的龙虾所以才叫它这个名字。这个智能体可以在用户本地电脑上调用通信软件和大语言模型,完成文件管理、邮件收发和数据处理等复杂任务。但魏亮也提醒大家,“龙虾”的强大功能也给用户带来了严峻的安全挑战。之前工信部发布了安全风险提示,他还专门提到了OpenClaw和ClawHub这两个平台。我们必须认真对待这些风险提示。 魏亮解释说,“龙虾”是一个开源AI智能体,它可以通过SSH或VPN进行互联网访问,这让它容易受到攻击。而且还有ZIP技能包可能被植入恶意代码,给用户的数据泄露和系统控制带来风险。所以即使升级到了最新版本,“龙虾”仍然有安全漏洞存在。魏亮还提醒大家不要随便下载ZIP文件或者执行shell脚本,这些操作都可能会带来恶意代码。他还建议用户谨慎使用技能市场ClawHub上的技能包,要仔细审查代码内容。 对于“龙虾”这个智能体如何使用安全的问题,魏亮给出了一些建议。他建议大家坚持最小权限原则,只授予完成任务必需的最小权限。另外他建议党政机关、企事业单位和个人用户在使用“龙虾”智能体的时候要注意防范社会工程学攻击和浏览器劫持。不要随便点击陌生的网页链接。 记者还问到是否可以通过升级版本解决问题?魏亮回答说不能完全解决问题。网络安全是动态的,黑客攻击手法也在不断迭代。所以升级版本只是修复已知漏洞的一种方式,并不能保证完全没有风险。他呼吁党政机关、企事业单位和个人用户审慎使用“龙虾”这类智能体。 为了保障用户权益和维护网络安全,魏亮提到了工信部的一个平台:网络安全威胁和漏洞信息共享平台。如果发现了“龙虾”的安全漏洞或者攻击事件,可以向这个平台报送信息。这个平台会及时组织处置这些问题。 记者问魏亮应该如何确保“龙虾”的使用安全?他回答说除了及时更新升级外还要坚持最小权限原则、主动防御和持续审计。结合前期发布的风险提示他建议从几个方面来确保安全使用: 第一点是使用官方最新版本。在部署时一定要从官方渠道下载最新稳定版并开启自动更新提醒。 第二点是严格控制互联网暴露面。一定不要将“龙虾”实例暴露到公网上去,如果确需互联网访问可以通过SSH或VPN并限制访问源地址。 第三点是坚持最小权限原则。严禁使用管理员权限的账号只授予完成任务必需的最小权限。 第四点是谨慎使用技能市场ClawHub。下载前要仔细审查代码内容拒绝任何要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。 第五点是防范社会工程学攻击和浏览器劫持:不要随意浏览来历不明的网站避免点击陌生链接。 第六点是建立长效防护机制:启用详细日志审计功能定期检查修补漏洞。 最后魏亮强调广大用户在使用“龙虾”等AI智能体的时候一定要把安全底线把握在自己手中详细了解并落实安全配置规范要求养成良好习惯。 总之这次谈话给大家提了个醒大家在使用AI智能体的时候一定要注意安全性不能掉以轻心啊!