來源:中國青年報綜合國家互聯網應急中心、藍鯨新聞、澎湃新聞、封面新聞、人民日報、每日經濟新聞、網友評論等
近日,互聯網上掀起一股「養龍蝦」熱潮。
由於開源ai智能體工具openclaw圖標是一隻紅色龍蝦,被大家稱為「龍蝦」。它通過整合調用通信軟體和大語言模型,在用戶電腦上自主執行文件管理、郵件收發、數據處理等複雜任務。
隨著「養龍蝦」風潮擴散,多家企業官宣「龍蝦」模型,還有部分地區已將其應用到政務服務場景中。
然而,「養龍蝦」也存在不少風險和隱患。
3月11日,相關話題#第一批養蝦人已經開始卸載了#登上熱搜,引髮網友熱議。有網友反饋,「養龍蝦」過程中,出現了亂刪郵件、隱私泄露等問題。
據封面新聞,有網友在網路上分享自己使用openclaw的經歷:他將自己的工作郵箱交給了openclaw打理,指令是:「檢查收件箱,提出你想歸檔或刪除的郵件。」他特意附加了「未經許可不要有任何操作」的限制。然而,「龍蝦」無視該網友連續發出的「停下來」的指令,瘋狂地刪除了數百封郵件。
據新消費日報,深圳一名程序員分享在安裝openclaw的第三天,因api密鑰被盜,在凌晨收到了高達1.2萬元的token賬單。由於openclaw具有極高的自動化許可權,一旦密鑰泄露,ai便可能在後台瘋狂調用模型,讓用戶在不知不覺中背負巨額消費。
「養龍蝦」的帶來的隱私與安全風險,正持續引髮網友擔憂。
據藍鯨新聞,openclaw爆火後,也帶火了二手交易平台的「龍蝦上門安裝服務」。然而,近日,上門卸載又迅速成為新的熱門業務。
對於當下的ai熱潮,有網友認為,面對新興ai工具需保持理性,避免盲目跟風。
還有網友呼籲,應儘快出台相關法律法規,對ai技術的開發、使用進行規範:
官方發布風險提示
2月5日,工業和信息化部網路安全威脅和漏洞信息共享平台監測發現openclaw開源ai智能體部分實例在默認或不當配置情況下存在較高安全風險,極易引發網路攻擊、信息泄露等安全問題。
3月10日,國家互聯網應急中心再次發布關於openclaw安全應用的風險提示。
提示稱,openclaw默認安全配置脆弱,易被攻擊者獲取系統完全控制權,目前已出現提示詞注入、誤操作、功能插件投毒、安全漏洞四類嚴重安全風險。
專家提醒:審慎使用「龍蝦」等智能體
中國信息通信研究院專家提示,儘管「龍蝦」智能體已經更新到最新版本,能修復已知的安全漏洞,但並不意味著完全消除安全風險。
專家呼籲,黨政機關、企事業單位和個人用戶要審慎使用「龍蝦」等智能體。在發現「龍蝦」等智能體的安全漏洞,或者針對「龍蝦」等智能體的安全威脅和攻擊事件時,可以第一時間向工業和信息化部網路安全威脅和漏洞信息共享平台報送,平台將按照《網路產品安全漏洞管理規定》要求,及時組織處置。
如何安全「養龍蝦」呢?
專家建議,從以下幾方面來安全使用「龍蝦」智能體:
第一,使用官方最新版本。
在部署時,要優先從官方渠道下載最新穩定版,並開啟自動更新提醒。在升級前備份數據,升級後重啟服務並驗證補丁是否生效。切勿使用第三方鏡像或舊版。
第二,嚴格控制互聯網暴露面。
一定不要將「龍蝦」智能體實例暴露到公網,並且限制訪問源地址,使用強密碼或證書、硬體密鑰等認證方式。
第三,堅持最小許可權原則。
在部署時,嚴禁使用管理員許可權的賬號,只授予完成任務必需的最小許可權,對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批。
第四,謹慎使用技能市場。
clawhub是專為「龍蝦」智能體用戶提供技能包的社區平台,其中的技能包存在惡意投毒風險,建議審慎下載,並在安裝前審查技能包代碼,拒絕任何要求「下載zip」「執行shell腳本」或「輸入密碼」的技能包。
第五,防範社會工程學攻擊和瀏覽器劫持。
不要隨意瀏覽來歷不明的網站,避免點擊陌生的網頁鏈接。建議使用網頁過濾器等擴展阻止可疑腳本,啟用openclaw速率限制和日誌審計功能,遇到可疑行為立即斷開網關並重置密碼。
第六,建立長效防護機制。
啟用詳細日誌審計功能,定期檢查並修補漏洞,黨政機關、企事業單位和個人用戶可以結合網路安全防護工具、主流殺毒軟體等進行實時防護。要定期關注openclaw官方安全公告、工業和信息化部網路安全威脅和漏洞信息共享平台等漏洞庫的風險預警,及時處置可能存在的安全風險。
用戶在使用「龍蝦」等ai智能體的過程中,一定要詳細了解並落實安全配置規範要求,養成安全使用習慣。
審慎使用
注意隱私安全
