最近啊,“养龙虾”这个事儿可是火得不行,国家互联网应急中心还有中国信通院的专家们都出来提醒大伙,得防着点风险。3月10日那天,国家互联网应急中心就发了个关于OpenClaw安全应用的提示,因为之前OpenClaw智能体装得不对或者用得不对,出现了不少严重的安全问题,什么提示词注入啦、误操作啦、功能插件被投毒啦,漏洞也是一大堆。 他们给大伙儿支了几招:第一,网络控制这块得抓好,千万别把OpenClaw的默认管理端口直接扔到公网上去;第二,凭证管理得加强,别在环境变量里把密钥写得明明白白的,还得建个日志审计机制;第三,插件来源必须严格把关,自动更新功能关掉,只从可靠的地方装经过签名验证的扩展程序;第四,补丁更新要及时盯着点。 同一天啊,人民日报也发文章说了这事儿,说工业和信息化部的网络安全威胁和漏洞信息共享平台也发了类似的提示。对于这个,中国信息通信研究院副院长魏亮就讲了:现在这些“龙虾”智能体更新得太快了,把版本升到最新确实能修几个已知的漏洞,可这不代表没风险了。这东西是本地运行的AI代理,能自己做决策还能调系统资源,再加上信任的边界不清楚,市面上的技能包好多也没怎么审核过。 比如它在调大语言模型的时候可能误解了用户说的话,结果去执行删除文件这种有害操作;要是用了带恶意代码的技能包,数据泄露或者系统被控制那是分分钟的事儿。哪怕你是最新版本的系统,如果光靠升级不做别的防范措施照样有风险。这网络安全嘛本来就是动态的,黑客的招数也一直在变,不能指望光打补丁升级就能一劳永逸。 所以魏亮就呼吁党政机关、企事业单位还有个人用户都小心点用这些智能体。要是发现漏洞或者被攻击了咋办?第一时间就报给工业和信息化部的那个信息共享平台呗。按照规定他们会及时处理的。 综合自国家互联网应急中心CNCERT和人民日报编辑李丹还有校对姚远 版权声明 Type是normal@@--> 证券时报的所有原创内容未经书面授权谁都不能转载 转载合作找证券时报小助理 微信ID就是SecuritiesTimes Type是normal@@-->