夜雨聆风
便捷与风险,从来都是双刃剑
随着OpenClaw的爆火,国内大厂们纷纷下场“分蛋糕”,一场智能体竞速赛正式拉开帷幕。百度推出零部署服务DuClaw、手机版“红手指Operator”,阿里上线多端适配的JVS Claw,腾讯更是发布了桌面版、企业版等全系“龙虾”产品矩阵,京东云甚至搞起了“养数字龙虾,送实体龙虾”的活动,赛道瞬间变得热闹非凡。
但热闹的背后,一个致命问题始终悬而未决——数据安全与系统受控隐患,这一风险贯穿使用全流程。具体来看,风险主要来自于三个方面:
首先,敏感信息泄露风险。使用“龙虾”时需上传个人隐私(简历、聊天记录)、工作机密(商业方案、内部数据)甚至金融信息(网银密码、交易凭证),而其默认配置薄弱(公网暴露比例高达 85%、API密钥明文存储),且行业无统一合规标准,即便更新至最新版本,也无法完全消除漏洞,配置不当易导致信息被窃取、滥用。
其次,系统受控与误操作风险。“龙虾”默认获取较高系统权限,易被黑客利用漏洞或通过提示词注入控制设备,出现删除重要文件、瘫痪服务器等问题;同时其对指令的辨别能力不足,可能因指令模糊或被诱导,误删邮件、泄露核心数据,甚至重置整个账户。
第三,插件与供应链风险。第三方插件(Skills)缺乏严格安全审核,存在“投毒”隐患,安装恶意插件后可能被植入木马、窃取密钥,导致设备沦为“肉鸡”,风险还可能在企业内网横向扩散。
想要让“龙虾”帮你干活,你必须把个人隐私、工作数据甚至核心机密“喂”给它:小到个人的简历、隐私信息,大到公司的内部方案、商业机密、未公开的项目数据。这些上传的数据究竟会被如何存储?会不会被用于模型训练?有没有泄露、滥用的风险?一切都处于黑箱之中。
便捷的背后,是我们的隐私与核心信息,正在面临不可控的未知风险,这是所有智能体产品,都绕不开的核心命题。目前已有不少用户踩了坑,有人将工作邮箱交给“龙虾”打理,即便反复强调“未经许可不要操作”,依然被疯狂删除数百封邮件;深圳一名程序员更是因为API密钥被盗,凌晨收到了高达1.2万元的Token账单;还有人在网上购买“龙虾”远程安装服务,刚装上就接到反诈中心的提醒电话。
更值得警惕的是,目前行业尚无统一的合规标准,即便“龙虾”更新到最新版本,也无法完全消除安全漏洞,配置不当依然会面临被攻击、信息泄露的风险。
(来源:科技云报到)
