近期，一款名為OpenClaw的開源AI智能體因圖標(biāo)設(shè)計(jì)為紅色龍蝦形象，被用戶親切地稱為“龍蝦”，在科技領(lǐng)域引發(fā)廣泛關(guān)注。該工具通過整合通信軟件與大語言模型，可自主完成文件管理、郵件處理、數(shù)據(jù)分析等復(fù)雜任務(wù)，其強(qiáng)大的功能推動(dòng)了我國AI智能體生態(tài)的快速發(fā)展。然而，隨著應(yīng)用范圍的擴(kuò)大，其潛在的安全風(fēng)險(xiǎn)也引發(fā)了監(jiān)管部門和專家的警惕。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)此前已發(fā)布預(yù)警，指出“龍蝦”雖通過版本更新修復(fù)了部分已知漏洞，但其自主決策、調(diào)用系統(tǒng)資源等特性，結(jié)合技能包市場審核機(jī)制不完善、信任邊界模糊等問題，仍存在多重安全隱患。例如，大語言模型可能誤解用戶指令，導(dǎo)致誤刪文件等操作；被植入惡意代碼的技能包可能引發(fā)數(shù)據(jù)泄露或系統(tǒng)被控；而實(shí)例暴露于公網(wǎng)、使用管理員權(quán)限、密鑰明文存儲(chǔ)等配置問題，即使升級(jí)最新版本，若未采取針對(duì)性防護(hù)措施，仍可能遭受攻擊。

專家強(qiáng)調(diào)，網(wǎng)絡(luò)安全環(huán)境動(dòng)態(tài)變化，黑客攻擊手段持續(xù)升級(jí)，僅依賴“打補(bǔ)丁”或“升版本”無法提供長期安全保障。黨政機(jī)關(guān)、企事業(yè)單位及個(gè)人用戶需審慎評(píng)估使用風(fēng)險(xiǎn)，若發(fā)現(xiàn)安全漏洞或攻擊事件，應(yīng)第一時(shí)間向工業(yè)和信息化部平臺(tái)報(bào)送，以便及時(shí)組織處置。

為降低使用風(fēng)險(xiǎn)，專家提出“最小權(quán)限、主動(dòng)防御、持續(xù)審計(jì)”的安全原則，并給出具體建議：首先，用戶應(yīng)從官方渠道下載最新穩(wěn)定版本，開啟自動(dòng)更新提醒，升級(jí)前備份數(shù)據(jù)并驗(yàn)證補(bǔ)丁有效性，避免使用第三方鏡像或舊版；其次，嚴(yán)格限制實(shí)例的互聯(lián)網(wǎng)暴露面，禁止將其部署于公網(wǎng)，采用強(qiáng)密碼、證書或硬件密鑰認(rèn)證，并限制訪問源地址；第三，部署時(shí)禁用管理員權(quán)限賬號(hào)，僅授予任務(wù)必需的最小權(quán)限，對(duì)刪除文件、發(fā)送數(shù)據(jù)等敏感操作設(shè)置二次確認(rèn)或人工審批流程。

針對(duì)技能包市場風(fēng)險(xiǎn)，專家提醒用戶謹(jǐn)慎使用ClawHub社區(qū)平臺(tái)提供的技能包。由于部分技能包可能存在惡意代碼，建議安裝前審查代碼邏輯，拒絕任何要求下載壓縮包、執(zhí)行腳本或輸入密碼的技能包。用戶需防范社會(huì)工程學(xué)攻擊，避免點(diǎn)擊陌生鏈接或訪問不明網(wǎng)站，可使用網(wǎng)頁過濾器阻止可疑腳本，并啟用OpenClaw的速率限制和日志審計(jì)功能，遇到異常行為立即斷開網(wǎng)絡(luò)并重置密碼。

長期防護(hù)方面，專家建議用戶啟用詳細(xì)日志審計(jì)，定期檢查并修補(bǔ)漏洞，結(jié)合網(wǎng)絡(luò)安全工具和殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控。同時(shí)，需持續(xù)關(guān)注OpenClaw官方安全公告及工業(yè)和信息化部平臺(tái)的風(fēng)險(xiǎn)預(yù)警，及時(shí)調(diào)整防護(hù)策略以應(yīng)對(duì)新出現(xiàn)的威脅。用戶在使用“龍蝦”等AI工具時(shí)，應(yīng)充分了解安全配置規(guī)范，逐步養(yǎng)成安全操作習(xí)慣，以降低潛在風(fēng)險(xiǎn)對(duì)個(gè)人或組織的影響。