第一批“養(yǎng)蝦人”已經(jīng)開始卸載了 安全風(fēng)險(xiǎn)引爭議。近日，開源AI智能體OpenClaw（也被稱為“龍蝦”）引起廣泛關(guān)注，市場上出現(xiàn)了上門或遠(yuǎn)程安裝OpenClaw的服務(wù)。然而，OpenClaw潛在的安全風(fēng)險(xiǎn)及使用過程中可能產(chǎn)生的高額費(fèi)用問題也引發(fā)爭議。不少網(wǎng)友打算卸載OpenClaw，網(wǎng)上也出現(xiàn)了許多卸載教程。3月10日，某交易平臺(tái)上已出現(xiàn)代卸載OpenClaw的服務(wù)。一名IP地址顯示在上海的商家報(bào)價(jià)，上門卸載OpenClaw收費(fèi)299元（僅限上海），遠(yuǎn)程卸載收費(fèi)199元，并稱“安全徹底，無殘留”。

中國信息通信研究院專家提醒，盡管“龍蝦”智能體已經(jīng)更新到最新版本，修復(fù)了已知的安全漏洞，但并不意味著完全消除安全風(fēng)險(xiǎn)。此前，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)已經(jīng)發(fā)布過相關(guān)安全風(fēng)險(xiǎn)提示。

OpenClaw因其圖標(biāo)是一只紅色龍蝦而被大家稱為“龍蝦”。它通過整合調(diào)用通信軟件和大語言模型，在用戶電腦上自主執(zhí)行文件管理、郵件收發(fā)、數(shù)據(jù)處理等復(fù)雜任務(wù)。專家指出，“龍蝦”受到我國產(chǎn)業(yè)界和廣大用戶的廣泛關(guān)注，推動(dòng)了AI智能體生態(tài)的繁榮，但也帶來了嚴(yán)峻的安全挑戰(zhàn)。平臺(tái)曾發(fā)布預(yù)警提示，針對(duì)存在的安全風(fēng)險(xiǎn)給出了一些防范建議。

目前，“龍蝦”智能體通過更新到官方最新版本確實(shí)能修復(fù)已知安全漏洞，但并不意味著完全消除安全風(fēng)險(xiǎn)?！褒埼r”具有自主決策、調(diào)用系統(tǒng)資源等特點(diǎn)，加上信任邊界模糊、技能包市場缺乏嚴(yán)格審核，存在不少風(fēng)險(xiǎn)隱患。例如，在調(diào)用大語言模型時(shí)可能誤解用戶指令內(nèi)容，導(dǎo)致執(zhí)行刪除等有害操作。使用被植入惡意代碼的技能包可能導(dǎo)致數(shù)據(jù)泄露或系統(tǒng)受控。因?yàn)閷?shí)例暴露于互聯(lián)網(wǎng)、使用管理員權(quán)限、明文存儲(chǔ)密鑰等配置問題，即使升級(jí)到最新版本，如果不采取針對(duì)性的防范措施，依然存在被攻擊的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全是動(dòng)態(tài)變化的，黑客攻擊手法也在不斷迭代，不能把“打補(bǔ)丁”和“升版本”當(dāng)成“一勞永逸”的安全保障。

專家呼吁黨政機(jī)關(guān)、企事業(yè)單位和個(gè)人用戶要審慎使用“龍蝦”等智能體。在發(fā)現(xiàn)安全漏洞或安全威脅和攻擊事件時(shí)，可以第一時(shí)間向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送，平臺(tái)將按照《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》要求及時(shí)組織處置。

任何網(wǎng)絡(luò)產(chǎn)品的安全使用，除了及時(shí)進(jìn)行升級(jí)更新外，還必須堅(jiān)持“最小權(quán)限、主動(dòng)防御、持續(xù)審計(jì)”的原則。建議從以下幾方面來安全使用“龍蝦”智能體：

- 使用官方最新版本。部署時(shí)優(yōu)先從官方渠道下載最新穩(wěn)定版，并開啟自動(dòng)更新提醒。在升級(jí)前備份數(shù)據(jù)，升級(jí)后重啟服務(wù)并驗(yàn)證補(bǔ)丁是否生效。切勿使用第三方鏡像或舊版。 - 嚴(yán)格控制互聯(lián)網(wǎng)暴露面。不要將“龍蝦”智能體實(shí)例暴露到公網(wǎng)，并且限制訪問源地址，使用強(qiáng)密碼或證書、硬件密鑰等認(rèn)證方式。 - 堅(jiān)持最小權(quán)限原則。部署時(shí)嚴(yán)禁使用管理員權(quán)限的賬號(hào)，只授予完成任務(wù)必需的最小權(quán)限，對(duì)刪除文件、發(fā)送數(shù)據(jù)、修改系統(tǒng)配置等重要操作進(jìn)行二次確認(rèn)或人工審批。 - 謹(jǐn)慎使用技能市場。ClawHub是專為“龍蝦”智能體用戶提供技能包的社區(qū)平臺(tái)，其中的技能包存在惡意投毒風(fēng)險(xiǎn)，建議審慎下載并在安裝前審查技能包代碼，拒絕任何要求“下載zip”“執(zhí)行shell腳本”或“輸入密碼”的技能包。 - 防范社會(huì)工程學(xué)攻擊和瀏覽器劫持。不要隨意瀏覽來歷不明的網(wǎng)站，避免點(diǎn)擊陌生的網(wǎng)頁鏈接。建議使用網(wǎng)頁過濾器等擴(kuò)展阻止可疑腳本，啟用OpenClaw速率限制和日志審計(jì)功能，遇到可疑行為立即斷開網(wǎng)關(guān)并重置密碼。 - 建立長效防護(hù)機(jī)制。啟用詳細(xì)日志審計(jì)功能，定期檢查并修補(bǔ)漏洞，結(jié)合網(wǎng)絡(luò)安全防護(hù)工具、主流殺毒軟件進(jìn)行實(shí)時(shí)防護(hù)。要定期關(guān)注OpenClaw官方安全公告、工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)等漏洞庫的風(fēng)險(xiǎn)預(yù)警，及時(shí)處置可能存在的安全風(fēng)險(xiǎn)。

用戶在使用“龍蝦”等AI智能體的過程中，一定要詳細(xì)了解并落實(shí)安全配置規(guī)范要求，養(yǎng)成安全使用習(xí)慣。