近期，開源AI智能體“龍蝦”異?；鸨艿絿鴥?nèi)產(chǎn)業(yè)界和廣大用戶的廣泛關(guān)注?；ヂ?lián)網(wǎng)上針對“龍蝦”智能體安全的探討也非常多，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺也發(fā)布過相關(guān)的安全風(fēng)險提示。

中國信息通信研究院副院長魏亮表示，“龍蝦”是開源AI智能體OpenClaw的別稱，因其圖標(biāo)為紅色龍蝦而得名。它通過整合調(diào)用通信軟件和大語言模型，在用戶本地電腦自主執(zhí)行文件管理、郵件收發(fā)、數(shù)據(jù)處理等復(fù)雜任務(wù)?！褒埼r”出現(xiàn)后，推動了我國AI智能體生態(tài)的繁榮，但其強(qiáng)大的執(zhí)行能力也給用戶帶來了嚴(yán)峻的安全挑戰(zhàn)。近期，工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺發(fā)布了關(guān)于防范OpenClaw開源AI智能體安全風(fēng)險的預(yù)警提示，并給出了一些防范建議。

盡管“龍蝦”智能體更新迭代迅速，通過更新到官方最新版本可以修復(fù)已知的安全漏洞，但這并不意味著完全消除安全風(fēng)險。作為本地運(yùn)行的AI代理，“龍蝦”具有自主決策、調(diào)用系統(tǒng)資源等特點，加之信任邊界模糊、技能包市場缺乏嚴(yán)格審核等問題，存在不少風(fēng)險隱患。例如，在調(diào)用大語言模型時可能誤解用戶指令內(nèi)容，導(dǎo)致執(zhí)行刪除等有害操作；使用被植入惡意代碼的技能包可能導(dǎo)致數(shù)據(jù)泄露或系統(tǒng)受控；配置問題如將實例暴露于互聯(lián)網(wǎng)、使用管理員權(quán)限、明文存儲密鑰等也會帶來風(fēng)險。因此，網(wǎng)絡(luò)安全是動態(tài)的，黑客攻擊手法也在不斷迭代，不能僅依賴“打補(bǔ)丁”和“升版本”來保障安全。

黨政機(jī)關(guān)、企事業(yè)單位和個人用戶應(yīng)審慎使用“龍蝦”等智能體。在發(fā)現(xiàn)“龍蝦”等智能體的安全漏洞或安全威脅和攻擊事件時，應(yīng)及時向工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送，以便及時處置，維護(hù)網(wǎng)絡(luò)安全，保障用戶權(quán)益。

在使用“龍蝦”智能體的過程中，除了及時進(jìn)行升級更新外，還必須堅持“最小權(quán)限、主動防御、持續(xù)審計”的原則。具體建議包括：使用官方最新版本，從官方渠道下載并開啟自動更新提醒；嚴(yán)格控制互聯(lián)網(wǎng)暴露面，避免將實例暴露到公網(wǎng)；堅持最小權(quán)限原則，只授予完成任務(wù)必需的最小權(quán)限；謹(jǐn)慎使用技能市場，審慎下載并審查技能包代碼；防范社會工程學(xué)攻擊和瀏覽器劫持，啟用詳細(xì)日志審計功能，定期檢查并修補(bǔ)漏洞。廣大用戶在使用“龍蝦”等AI智能體時，一定要把安全底線把握在自己手中，詳細(xì)了解并落實安全配置規(guī)范要求，養(yǎng)成安全使用習(xí)慣。相關(guān)部門也會持續(xù)做好安全監(jiān)測，及時預(yù)警相關(guān)安全風(fēng)險，提供必要的技術(shù)支持。