工信部近期再次提醒党政机关、企事业单位和个人用户要谨慎对待诸如“龙虾”这类智能体。这一开源AI智能体OpenClaw因图标是红色龙虾而得名,它通过整合大语言模型与通信软件,在本地电脑上自主完成文件管理和邮件收发等任务。虽然这种强执行能力推动了我国AI生态繁荣,但也带来了严峻的安全挑战。针对其安全风险,中国信息通信研究院副院长魏亮接受了记者采访。 虽然工业和信息化部网络安全威胁和漏洞信息共享平台发布了预警提示,并强调更新到官方最新版本能修复已知漏洞,但魏亮指出这并不意味着风险完全消失。作为本地运行的代理工具,“龙虾”具备自主决策与调用系统资源的能力。由于信任边界模糊且技能包市场审核不严,它存在诸多隐患。例如,调用大模型时可能误解指令导致有害操作;使用恶意技能包会引发数据泄露或系统受控;即使升级后若仍通过公网暴露实例、使用明文密钥或管理员权限,依然面临被攻击的风险。 魏亮建议大家坚持“最小权限、主动防御、持续审计”的原则安全使用“龙虾”。具体措施包括:优先从官方渠道下载最新稳定版并开启自动更新提醒;严禁暴露实例至公网,确需外网访问时可通过SSH或VPN且限制访问源地址;部署时只授予必要权限并对敏感操作进行人工审批;审慎使用ClawHub技能市场,拒绝要求下载ZIP、执行脚本或输入密码的技能包;防范社会工程学攻击和浏览器劫持;启用详细日志审计并定期检查漏洞。 除了以上措施外,党政机关、企事业单位和个人用户还要密切关注OpenClaw官方公告及工业和信息化部的风险预警。魏亮强调安全是动态的,打补丁并非一劳永逸。在发现安全漏洞或遭遇威胁事件时,应及时向工业和信息化部网络安全威胁和漏洞信息共享平台报送。平台将按照规定组织处置以维护网络安全。最后魏亮呼吁大家一定要把安全底线握在手中,养成良好的安全使用习惯。