在發現“龍蝦”等智能體的安全漏洞,或者針對“龍蝦”等智能體的安全威脅和攻擊事件時,可以第一時間向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送,平臺將按照《網絡產品安全漏洞管理規定》要求,及時組織處置。
文章作者、來源:央視新聞
近期,開源AI智能體OpenClaw(俗稱“龍蝦”)異常火爆,中國信息通信研究院專家今天(10日)再次提示,儘管“龍蝦”智能體已經更新到最新版本,能修復已知的安全漏洞,但並不意味著完全消除安全風險。此前,工業和信息化部網絡安全威脅和漏洞信息共享平臺已經發布過相關安全風險提示。
開源AI智能體工具OpenClaw因圖標是一隻紅色龍蝦,被大家稱為“龍蝦”。它通過整合調用通信軟件和大語言模型,在用戶電腦上自主執行文件管理、郵件收發、數據處理等複雜任務。
“龍蝦”具有自主決策、調用系統資源等特點,加上信任邊界模糊、技能包市場缺乏嚴格審核,存在不少風險隱患。網絡安全是動態變化的,黑客攻擊手法也在不斷迭代,不能把“打補丁”和“升版本”當成“一勞永逸”的安全保障。
專家呼籲,黨政機關、企事業單位和個人用戶要審慎使用“龍蝦”等智能體。在發現“龍蝦”等智能體的安全漏洞,或者針對“龍蝦”等智能體的安全威脅和攻擊事件時,可以第一時間向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送,平臺將按照《網絡產品安全漏洞管理規定》要求,及時組織處置。
任何網絡產品的安全使用,除了及時進行升級更新外,還必須堅持“最小權限、主動防禦、持續審計”的原則。專家建議,從以下幾方面來安全使用“龍蝦”智能體:
- 使用官方最新版本。在部署時,要優先從官方渠道下載最新穩定版,並開啟自動更新提醒。在升級前備份數據,升級後重啟服務並驗證補丁是否生效。切勿使用第三方鏡像或舊版。
- 嚴格控制互聯網暴露面。一定不要將“龍蝦”智能體實例暴露到公網,並且限制訪問源地址,使用強密碼或證書、硬件密鑰等認證方式。
- 堅持最小權限原則。在部署時,嚴禁使用管理員權限的賬號,只授予完成任務必需的最小權限,對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批。
- 謹慎使用技能市場。ClawHub是專為“龍蝦”智能體用戶提供技能包的社區平臺,其中的技能包存在惡意投毒風險,建議審慎下載,並在安裝前審查技能包代碼,拒絕任何要求“下載zip”“執行shell腳本”或“輸入密碼”的技能包。
- 防範社會工程學攻擊和瀏覽器劫持。不要隨意瀏覽來歷不明的網站,避免點擊陌生的網頁鏈接。建議使用網頁過濾器等擴展阻止可疑腳本,啟用OpenClaw速率限制和日誌審計功能,遇到可疑行為立即斷開網關並重置密碼。
- 建立長效防護機制。啟用詳細日誌審計功能,定期檢查並修補漏洞,黨政機關、企事業單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件進行實時防護。要定期關注OpenClaw官方安全公告、工業和信息化部網絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警,及時處置可能存在的安全風險。
用戶在使用“龍蝦”等AI智能體的過程中,一定要詳細瞭解並落實安全配置規範要求,養成安全使用習慣。
