近期，一款名為OpenClaw的開(kāi)源AI智能體因圖標(biāo)形似紅色龍蝦，被用戶親切地稱為“龍蝦”，在網(wǎng)絡(luò)上引發(fā)廣泛關(guān)注。這款工具通過(guò)整合通信軟件與大語(yǔ)言模型，能夠在用戶設(shè)備上自主完成文件管理、郵件處理、數(shù)據(jù)分析等復(fù)雜任務(wù)，其自主決策和資源調(diào)用能力吸引了眾多用戶。然而，中國(guó)信息通信研究院專家近日發(fā)出警示，盡管“龍蝦”已更新至最新版本并修復(fù)了部分已知漏洞，但其安全風(fēng)險(xiǎn)并未完全消除。

專家指出，“龍蝦”的自主特性與模糊的信任邊界，疊加技能包市場(chǎng)審核機(jī)制缺失的現(xiàn)狀，使其面臨多重安全隱患。網(wǎng)絡(luò)安全領(lǐng)域具有動(dòng)態(tài)性，黑客攻擊手段持續(xù)升級(jí)，單純依賴版本更新或補(bǔ)丁修復(fù)難以形成長(zhǎng)期有效的防護(hù)。此前，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)已針對(duì)該工具發(fā)布過(guò)風(fēng)險(xiǎn)提示，提醒用戶保持警惕。

針對(duì)安全使用問(wèn)題，專家提出“最小權(quán)限、主動(dòng)防御、持續(xù)審計(jì)”三大核心原則，并給出具體操作建議：用戶應(yīng)通過(guò)官方渠道獲取最新穩(wěn)定版本，開(kāi)啟自動(dòng)更新提醒，并在升級(jí)前備份數(shù)據(jù)、驗(yàn)證補(bǔ)丁效果；部署時(shí)需避免將實(shí)例暴露于公網(wǎng)，采用強(qiáng)密碼、硬件密鑰等認(rèn)證方式，同時(shí)限制訪問(wèn)源地址；權(quán)限分配應(yīng)遵循“最小化”原則，僅授予任務(wù)必需權(quán)限，并對(duì)敏感操作設(shè)置二次確認(rèn)或人工審批流程。

技能包市場(chǎng)是另一大風(fēng)險(xiǎn)點(diǎn)。作為“龍蝦”用戶專屬社區(qū)平臺(tái)，ClawHub中的技能包可能存在惡意代碼注入風(fēng)險(xiǎn)。專家建議用戶審慎下載，安裝前審查代碼邏輯，拒絕任何要求執(zhí)行腳本、輸入密碼或下載壓縮包的技能包。用戶需防范社會(huì)工程學(xué)攻擊，避免點(diǎn)擊可疑鏈接、訪問(wèn)不明網(wǎng)站，并啟用網(wǎng)頁(yè)過(guò)濾器、速率限制等功能，遇到異常行為立即重置密碼并斷開(kāi)網(wǎng)絡(luò)連接。

為構(gòu)建長(zhǎng)效防護(hù)機(jī)制，用戶應(yīng)啟用詳細(xì)日志審計(jì)功能，定期檢查系統(tǒng)漏洞，結(jié)合殺毒軟件與網(wǎng)絡(luò)安全工具進(jìn)行實(shí)時(shí)監(jiān)控。同時(shí)，需持續(xù)關(guān)注OpenClaw官方安全公告及工業(yè)和信息化部漏洞庫(kù)預(yù)警信息，及時(shí)響應(yīng)潛在風(fēng)險(xiǎn)。專家強(qiáng)調(diào)，安全使用AI智能體不僅依賴技術(shù)更新，更需用戶主動(dòng)落實(shí)配置規(guī)范，培養(yǎng)良好的操作習(xí)慣。