这里说的“龙虾”,并非绝美的海鲜,而是今年年初爆火全球的开源AI智能体OpenClaw(“龙虾”,曾用名Clawdbot、Moltbot)。近期,OpenClaw应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。因图标是一只红色龙虾,网友们便昵称其为“龙虾”,而部署、训练OpenClaw,就被大家形象地称为“养龙虾”。
广东、江苏、安徽等多地发文支持“养龙虾”。例如,安徽省合肥市高新区发布《合肥高新区打造人工智能OPC创业生态示范区行动计划(征求意见稿)》,推出15条硬核举措,称全方位护航OpenClaw等开源AI项目落地深耕,致力打造“AI+超级个体/一人公司(OPC)”新业态标杆,最高予以1000万元资金扶持;江苏省常熟市发布《常熟市加快打造OpenClaw 等开源社区推动产业高质量发展的若干措施(征求意见稿)》,推出13条举措。
但是,值得提醒的是,“养龙虾”亦有风险。工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。
3月10日,国家互联网应急中心也发布相关风险提示称,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险。例如,网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露;此外,由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。
同时,根据国家互联网应急中心发布信息,目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。
全国两会期间,也有代表委员和行业人士发声,为大家“降温”,提醒理性看待“养龙虾”热潮。全国政协委员、360集团创始人周鸿祎指出OpenClaw仍面临三个问题:第一是安全性;第二是安装门槛高,普通用户操作不便,难以在大众层面普及;第三是技能范围有限,目前能干的事情相对“高端”,离真正服务日常生活还有距离。
国家互联网应急中心提示,相关单位和个人用户在部署和应用OpenClaw时,采取以下安全措施:
2.加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制。
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
