Khi phát hiện lỗ hổng bảo mật trong các tác nhân thông minh như "Lobster", hoặc các mối đe dọa và tấn công an ninh nhắm vào các tác nhân này, người dân có thể báo cáo ngay lập tức cho Nền tảng Chia sẻ Thông tin về Mối đe dọa và Lỗ hổng An ninh mạng của Bộ Công nghiệp và Công nghệ Thông tin. Nền tảng này sẽ nhanh chóng tổ chức xử lý theo "Quy định về Quản lý lỗ hổng bảo mật trong Sản phẩm Mạng".
Tác giả và nguồn bài viết: CCTV News
Gần đây, phần mềm nhận dạng AI mã nguồn mở OpenClaw (thường được gọi là "Lobster") đã trở nên vô cùng phổ biến. Các chuyên gia từ Học viện Công nghệ Thông tin và Truyền thông Trung Quốc (CAICT) hôm nay (ngày 10) đã nhắc lại rằng mặc dù phần mềm "Lobster" đã được cập nhật lên phiên bản mới nhất và có thể khắc phục lỗ hổng bảo mật đã biết, điều này không có nghĩa là rủi ro bảo mật đã được loại bỏ hoàn toàn. Trước đó, Nền tảng Chia sẻ Thông tin về Mối đe dọa và Lỗ hổng An ninh mạng của Bộ Công nghiệp và Công nghệ Thông tin đã đưa ra các cảnh báo rủi ro bảo mật liên quan.
OpenClaw, mã nguồn mở , được đặt biệt danh là "Tôm Hùm" vì biểu tượng của nó là một con tôm hùm đỏ. Nó tích hợp phần mềm giao tiếp và một mô hình ngôn ngữ lớn để tự động thực hiện nhiệm vụ phức tạp như quản lý tập tin, gửi và nhận email, và xử lý dữ liệu trên máy tính của người dùng.
Các tính năng an ninh mạng kiểu "tôm hùm" bao gồm khả năng ra quyết định tự động và sử dụng tài nguyên hệ thống. Kết hợp với ranh giới tin cậy không rõ ràng và thiếu sự kiểm tra nghiêm ngặt trong thị trường gói kỹ năng, những công nghệ này tiềm ẩn rủi ro đáng kể. An ninh mạng là một lĩnh vực năng động và liên tục phát triển, và các phương pháp tấn công hacker cũng không ngừng được cải tiến. Việc "vá lỗi" và "nâng cấp" không thể được coi là một giải pháp đảm bảo an ninh "phù hợp với mọi trường hợp".
Các chuyên gia khuyến cáo các cơ quan chính phủ, doanh nghiệp, tổ chức công cộng và người dùng cá nhân nên thận trọng khi sử dụng "Lobster" và các tác nhân thông minh khác. Khi phát hiện lỗ hổng bảo mật trong "Lobster" hoặc các tác nhân thông minh khác, hoặc khi gặp phải các mối đe dọa an ninh hoặc các cuộc tấn công nhằm vào chúng, họ nên báo cáo ngay lập tức cho Nền tảng Chia sẻ Thông tin về Mối đe dọa và Lỗ hổng An ninh mạng của Bộ Công Thương. Nền tảng này sẽ nhanh chóng tổ chức xử lý theo "Quy định về Quản lý lỗ hổng bảo mật Sản phẩm Mạng".
Ngoài việc nâng cấp cập nhật kịp thời, việc sử dụng an toàn bất kỳ sản phẩm mạng nào cũng phải tuân thủ các nguyên tắc "quyền hạn tối thiểu, phòng thủ chủ động và kiểm toán liên tục". Các chuyên gia khuyến nghị các khía cạnh sau đây để sử dụng an toàn tác nhân thông minh "Lobster":
- Hãy sử dụng phiên bản chính thức mới nhất. Khi triển khai, ưu tiên tải xuống phiên bản ổn định mới nhất từ các kênh chính thức và bật nhắc nhở cập nhật tự động. Sao lưu dữ liệu của bạn trước khi nâng cấp và khởi động lại dịch vụ sau khi nâng cấp để xác minh rằng các bản vá có hiệu lực. Tuyệt đối không sử dụng ảnh hệ thống của bên thứ ba hoặc các phiên bản cũ hơn.
- Kiểm soát chặt chẽ việc tiếp xúc với internet. Tuyệt đối không để các phiên bản tác nhân "Lobster" tiếp xúc với internet công cộng, và hạn chế quyền truy cập bằng cách sử dụng mật khẩu mạnh hoặc các phương thức xác thực như chứng chỉ hoặc khóa phần cứng.
- Tuân thủ nguyên tắc quyền hạn tối thiểu. Trong quá trình triển khai, tuyệt đối cấm sử dụng các tài khoản có quyền quản trị. Chỉ cấp các quyền tối thiểu cần thiết để hoàn thành nhiệm vụ. Đối với các thao tác quan trọng như xóa tập tin, gửi dữ liệu và sửa đổi cấu hình hệ thống, cần có xác nhận lần hoặc phê duyệt thủ công.
- Hãy sử dụng chợ kỹ năng một cách thận trọng. ClawHub là một nền tảng cộng đồng cung cấp các gói kỹ năng cho người dùng AI "Lobster". Các gói kỹ năng trong đó có thể chứa rủi ro độc hại. Chúng tôi khuyên bạn nên tải xuống cẩn thận và xem xét mã nguồn của gói kỹ năng trước khi cài đặt. Từ chối bất kỳ gói kỹ năng nào yêu cầu bạn "tải xuống tệp zip", "thực thi tập lệnh shell" hoặc "nhập mật khẩu".
- Hãy tự bảo vệ mình khỏi các cuộc tấn công kỹ thuật xã hội và chiếm quyền điều khiển trình duyệt. Tùy ý truy cập các trang web từ các nguồn không xác định và nhấn các liên kết web không quen thuộc. Nên sử dụng bộ lọc trang web và mở rộng mở rộng khác để chặn các tập lệnh đáng ngờ, bật tính năng giới hạn tốc độ và kiểm toán nhật ký của OpenClaw, và ngay lập tức ngắt kết nối khỏi cổng mạng và đặt lại mật khẩu nếu bạn gặp hoạt động đáng ngờ.
- Thiết lập cơ chế bảo vệ dài hạn. Cho phép kiểm toán nhật ký chi tiết để định kì phát hiện và vá các lỗ hổng. Các cơ quan chính phủ, doanh nghiệp và người dùng cá nhân có thể kết hợp điều này với bảo vệ thời gian thực bằng các công cụ an ninh mạng và phần mềm chống virus phổ biến. Định kì theo dõi các cảnh báo rủi ro từ các bản tin an ninh chính thức của OpenClaw và các cơ sở dữ liệu lỗ hổng như nền tảng chia sẻ thông tin về mối đe dọa và lỗ hổng an ninh mạng của Bộ Công Thương và Thông tin, và kịp thời giải quyết mọi rủi ro an ninh tiềm ẩn.
Người dùng phải hiểu rõ và thực hiện đầy đủ các thông số kỹ thuật cấu hình an toàn khi sử dụng các tác nhân thông minh AI như "Lobster" và phát triển thói quen sử dụng an toàn.
