夜雨聆风
近期,一款叫OpenClaw(俗称“龙虾”)的开源智能体应用爆火,从开发者社区火到普通社交平台,凭强大自动化能力圈粉无数。但这款看似便捷的工具,实则暗藏多重安全陷阱,值得每一位使用者警惕。本文为大家科普知识、解读风险、给出防护建议,帮助大家理性使用新技术、守住安全底线。
不止是“聊天机器人”
更是高权限“数字管家”
很多人会把OpenClaw和普通AI搞混,其实差别很大:普通AI只出主意、给建议,而“龙虾”直接进入你的设备,代你完成复杂任务。本地部署、记忆偏好、可扩展技能的特点,让它比同类工具好用,但它只是境外个人开发的试验性项目,没有专业安全团队支撑,埋下了安全隐患。
“龙虾”的高权限是把“双刃剑”,便捷的同时也藏着大风险,这三大雷区一定要警惕。
雷区一:自身漏洞多,设备易被远程控制
自发布以来,境内外机构已发现“龙虾”有20余个高危漏洞,攻击者无需授权,就能通过漏洞控制你的设备,窃取密码、密钥等敏感信息,甚至操控设备做坏事。此外,有用户反馈,擅自发骚扰信息、未授权转账、清空邮箱等意外发生,造成不小损失。
雷区二:恶意技能多,用户数据安全无保障
“龙虾”能通过ClawHub技能市场下载拓展功能,但这里藏着很多恶意技能。一旦安装,就会植入木马,偷偷窃取你的个人信息、工作数据,甚至让攻击者长期控制你的设备。
雷区三:社区交互无防护,易被诱导实施攻击
随着“龙虾”走红,Moltbook等交互社区应运而生,但这些社区没有完善的安全防护和审核,大量诱导攻击的不良信息充斥其中。“龙虾”容易被控制,进而泄露敏感信息、传播不良言论,甚至实施诈骗,让风险雪上加霜。
面对多重安全风险,个人与相关机构需树立“安全第一”理念,摒弃“盲目尝鲜”心态,采取针对性防护措施。
1. 规范部署方式:只从官方下载最新版本,不用第三方镜像;部署时不用管理员权限,限制它的设备访问范围。
2. 谨慎使用技能包:不随便下载来源不明的技能,安装前看介绍和评价,优先使用官方内置技能。
3. 做好日常防护:定期更新补丁、查漏洞;不把“龙虾”暴露在互联网,警惕远程协助诈骗,不把设备控制权交给陌生人。
1. 强化部署管理:把“龙虾”和核心业务、敏感数据分开,禁止在关键生产环境使用,专人负责、定期排查。
2. 加强风险监测:定期扫漏洞、查恶意技能,做好操作日志记录,及时处置异常,关注漏洞预警并修复。
3. 建立应急机制:明确应急处置流程,发现设备被控制、数据被窃取,立即断网、卸载恶意技能、修复漏洞,并上报主管部门。
“龙虾”的爆火,体现了开源智能体的发展潜力,但新技术必须安全可控。作为境外个人试验性项目,“龙虾”的安全短板很明显,盲目使用只会吃亏。
内容来源:综合管理部、中国信通院CAICT
编辑:海楼
审核:吴静
发布:陆泓铭
扫描下方二维码 关注我们
