近期俗稱“龍蝦”的AI智能體OpenClaw 異常火爆。然而一個月前,工業和信息化部網絡安全威脅和漏洞信息共享平臺就發佈了“關於防範OpenClaw開源AI智能體安全風險的預警提示”。3月10日晚上,工業和信息化部專家再次提示,儘管“龍蝦”智能體已經更新到最新版本,能修復已知安全漏洞,但這並不意味着完全消除安全風險。
中國信息通信研究院副院長 魏亮:在調用大語言模型的時候可能誤解用戶指令內容,導致執行刪除等有害操作。使用被植入惡意代碼的技能包,可能導致數據泄露或系統受控。因爲將實例暴露於互聯網、使用管理員權限、明文存儲密鑰等配置問題,即使升級到最新版本,如果不採取針對性的防範措施,依然存在被攻擊的風險。
我們呼籲,黨政機關、企事業單位和個人用戶要審慎使用“龍蝦”等智能體。任何網絡產品的安全使用,除了及時進行升級更新外,還必須堅持“最小權限、主動防禦、持續審計”的原則。
在部署時,要優先從官方渠道下載最新穩定版。
一定不要將“龍蝦”智能體實例暴露到公網,並且限制訪問源地址,使用強密碼或證書、硬件密鑰等認證方式。
嚴禁使用管理員權限的賬號,只授予完成任務必需的最小權限,對刪除文件、發送數據、修改配置等重要操作進行二次確認或人工審批。
黨政機關、企事業單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件進行實時防護。
要定期關注OpenClaw官方安全公告、工業和信息化部網絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警,及時處置可能存在的安全風險。
(總檯央視記者 王世玉 孫薊濰)
