最近,「養龍蝦」的話題刷屏各大社交平台。
所謂「小龍蝦」指的是開源ai項目openclaw,作為一款本地部署的ai智能體,openclaw因其自主執行任務的能力引發全球熱潮。
由於openclaw的圖標是一隻紅色龍蝦,用戶部署和訓練openclaw被稱為「養龍蝦」。
3月6日,深圳騰訊雲舉辦線下活動,現場工程師免費幫用戶部署openclaw,吸引近千人排隊。小米等「大廠」也相繼進場。
與此同時,「養龍蝦」熱潮背後的安全風險也不容忽視。3月10日,國家互聯網應急中心發佈「關於openclaw安全應用的風險提示」。
提示指出,openclaw為實現「自主執行任務」的能力,被授予了較高的系統權限,包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(api)以及安裝擴展功能等。然而,由於其默認的安全配置極為脆弱,攻擊者一旦發現突破口,便能輕易獲取系統的完全控制權。
前期,由於openclaw智能體的不當安裝和使用,已經出現了一些嚴重的安全風險,包括「提示詞注入」風險、「誤操作」風險、功能插件(skills)投毒風險、安全漏洞風險等。
建議相關單位和個人用戶在部署和應用openclaw時,採取以下安全措施:
1.強化網絡控制,不將openclaw默認管理端口直接暴露在公網上,通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理。對運行環境進行嚴格隔離,使用容器等技術限制openclaw權限過高問題;
2.加強憑證管理,避免在環境變量中明文存儲密鑰;建立完整的操作日誌審計機制;
3.嚴格管理插件來源,禁用自動更新功能,僅從可信渠道安裝經過簽名驗證的擴展程序。
4.持續關注補丁和安全更新,及時進行版本更新和安裝安全補丁。
