近期，名為OpenClaw的開源AI智能體（因其圖標為紅色龍蝦，被大家稱為“龍蝦”）備受關(guān)注。中國信息通信研究院專家于10日再次發(fā)出提示：盡管“龍蝦”智能體已更新至最新版本，修復了已知安全漏洞，但這并不代表安全風險已完全消除。此前，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺就已發(fā)布過相關(guān)安全風險提示。

開源AI智能體工具OpenClaw，因圖標是一只紅色龍蝦，被用戶親切地稱為“龍蝦”。它通過整合調(diào)用通信軟件與大語言模型，能在用戶電腦上自主完成文件管理、郵件收發(fā)、數(shù)據(jù)處理等一系列復雜任務。

“龍蝦”具備自主決策、調(diào)用系統(tǒng)資源等特性，再加上信任邊界模糊、技能包市場缺乏嚴格審核等問題，存在不少安全風險隱患。網(wǎng)絡(luò)安全形勢是動態(tài)變化的，黑客的攻擊手法也在不斷更新迭代，不能將“打補丁”和“版本升級”當作一勞永逸的安全保障手段。

專家呼吁，黨政機關(guān)、企事業(yè)單位以及個人用戶都要審慎使用“龍蝦”等智能體。若發(fā)現(xiàn)“龍蝦”等智能體存在安全漏洞，或者遭遇針對它們的安全威脅與攻擊事件，可第一時間向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送，該平臺會依據(jù)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》的要求，及時組織進行處置。

對于任何網(wǎng)絡(luò)產(chǎn)品的安全使用，除了要及時進行升級更新外，還必須遵循“最小權(quán)限、主動防御、持續(xù)審計”的原則。專家建議，可從以下幾個方面來安全使用“龍蝦”智能體：

首先，使用官方最新版本。在部署時，應優(yōu)先從官方渠道下載最新的穩(wěn)定版本，并開啟自動更新提醒功能。在進行版本升級前，要做好數(shù)據(jù)備份工作，升級完成后重啟服務，并驗證補丁是否生效。切記不要使用第三方鏡像或者舊版本。

其次，嚴格控制互聯(lián)網(wǎng)暴露面。絕對不能將“龍蝦”智能體實例暴露在公網(wǎng)上，同時要限制訪問源地址，采用強密碼、證書或者硬件密鑰等認證方式。

第三，堅持最小權(quán)限原則。在部署過程中，嚴禁使用管理員權(quán)限的賬號，只授予完成任務所必需的最小權(quán)限，對于刪除文件、發(fā)送數(shù)據(jù)、修改系統(tǒng)配置等重要操作，要進行二次確認或者人工審批。

第四，謹慎使用技能市場。ClawHub是專門為“龍蝦”智能體用戶提供技能包的社區(qū)平臺，其中的技能包存在惡意投毒的風險，建議用戶審慎下載，并且在安裝前仔細審查技能包代碼，拒絕任何要求“下載zip”“執(zhí)行shell腳本”或者“輸入密碼”的技能包。

第五，防范社會工程學攻擊和瀏覽器劫持。不要隨意瀏覽來歷不明的網(wǎng)站，避免點擊陌生的網(wǎng)頁鏈接。建議使用網(wǎng)頁過濾器等擴展程序來阻止可疑腳本，啟用OpenClaw的速率限制和日志審計功能，一旦遇到可疑行為，要立即斷開網(wǎng)關(guān)并重置密碼。

第六，建立長效防護機制。啟用詳細的日志審計功能，定期檢查并修補漏洞，黨政機關(guān)、企事業(yè)單位和個人用戶可以結(jié)合網(wǎng)絡(luò)安全防護工具、主流殺毒軟件來進行實時防護。同時，要定期關(guān)注OpenClaw官方安全公告、工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺等漏洞庫發(fā)布的風險預警，及時處置可能存在的安全風險。

用戶在使用“龍蝦”等AI智能體的過程中，一定要詳細了解并落實安全配置規(guī)范要求，養(yǎng)成安全使用的習慣。

原標題：《審慎使用“龍蝦”等智能體！這六項提醒務必知悉→》

閱讀原文