夜雨聆风近期,一款名为OpenClaw(俗称“龙虾”)的自动化AI工具在网民中快速传播。该工具突破了传统AI仅能交互咨询的局限,具备直接操作系统、跨软件自动化执行的强大功能,可根据用户指令自动完成邮件处理、文件存储、信息回复等操作,在提升效率的同时,也因权限高、管控难而存在突出安全风险。
结合网络安全监测数据及相关投诉情况,OpenClaw主要存在四大安全风险:
一是恶意插件藏隐患。其技能市场可能被植入恶意程序,绕过安全检测窃取浏览器信息、账号密码、开发密钥等敏感数据,导致信息泄露。
二是高权限易失控。工具默认配置存在安全缺陷,易被外部网络非法访问,攻击者可远程接管设备、窃取存储信息,造成账号被盗、财产损失。
三是指令误判致损失。AI对复杂指令理解不稳定,易出现误删系统文件、违规越权操作等问题,可能导致设备故障、重要数据丢失。
四是诈骗诱导风险高。不法分子借“免费安装”“远程调试”等名义,诱导用户交出设备控制权、运行非法脚本,实施网络诈骗。
为有效防范风险,保障个人信息和财产安全,广大网民在使用此类高权限AI工具时,务必严格遵守以下安全规范:
一要坚持正规来源。从官方渠道下载安装,不使用第三方修改版、不明链接安装包,升级前做好数据备份。
二要严控网络权限。不将工具直接暴露在公网,不随意开放端口,远程访问必须通过加密通道,使用强密码认证。
三要落实最小权限。不使用管理员账号运行,对删除文件、修改系统等关键操作设置人工审核,尽可能在隔离环境中使用。
四要审慎安装插件。不随意安装不明技能包,不运行未知脚本,拒绝未经安全验证的自动更新。
五要增强防骗意识。不轻信免费调试、远程指导等诱导信息,不随意向他人提供设备控制权限,不在工具运行期间进行转账、输入敏感密码等操作。
六要强化动态监测。及时查看设备运行日志,关注官方安全预警,发现异常立即停用并处置。
网络安全事关切身利益,高权限智能工具在带来便利的同时,风险隐患不容忽视。广大网民要切实提高安全防范意识,规范使用行为,守住网络安全底线,共同维护安全、有序、健康的网络环境。
