近期,一款名为OpenClaw的开源AI智能体因图标形似红色龙虾,被用户亲切称为“龙虾”,在技术圈引发广泛关注。该工具通过整合通信软件与大语言模型,可自主完成文件管理、邮件收发、数据分析等复杂任务,但其安全风险也随着使用场景的扩展逐渐显现。中国信息通信研究院专家提醒,尽管开发者已通过版本更新修复部分已知漏洞,但网络安全威胁的动态性决定了风险无法被彻底消除。
工业和信息化部网络安全威胁和漏洞信息共享平台此前已发布风险提示,指出“龙虾”智能体的自主决策机制与系统资源调用能力,叠加其技能包市场审核机制不完善、信任边界模糊等问题,可能为黑客提供可乘之机。专家强调,单纯依赖补丁更新或版本升级无法构建长期安全防线,用户需建立多维防护体系。
针对党政机关、企事业单位及个人用户,专家提出六项具体防护建议:一是优先通过官方渠道获取最新稳定版本,升级前备份数据并验证补丁有效性,避免使用非官方镜像或旧版软件;二是严格限制互联网暴露面,禁止将智能体实例直接暴露于公网,通过强密码、硬件密钥及IP地址白名单强化访问控制;三是落实最小权限原则,禁用管理员账号部署,仅授予任务必需权限,并对敏感操作设置二次确认或人工审批流程。
在技能包使用方面,专家特别提醒用户警惕ClawHub社区平台中的潜在风险。由于部分技能包可能包含恶意代码,建议安装前审查源代码,拒绝执行任何要求下载压缩包、运行脚本或输入密码的操作。用户需防范社会工程学攻击,避免点击不明链接或访问可疑网站,可通过启用网页过滤器、设置OpenClaw速率限制及日志审计功能降低风险。
长效防护机制的建立同样关键。专家建议用户开启详细日志记录,定期检查系统漏洞,结合杀毒软件与网络安全工具进行实时监控。同时,需持续关注OpenClaw官方安全公告及工信部漏洞库预警信息,确保第一时间响应新发现的安全威胁。通过技术防护与用户习惯的双重强化,方能在享受AI便利的同时最大限度降低风险。
