全网“养龙虾”,你还需要知道这些
你“养龙虾”了吗?最近,OpenClaw成全网热点。这款以红色龙虾为图标的开源AI智能体,构建了具备持久记忆、主动执行能力的定制化AI助手,让AI“养龙虾”大火。全国人大代表、中国工程院院士高文介绍,当前OpenClaw等智能体工具的涌现极大降低了创业门槛,但也需注意防范潜在的网络安全风险:“如涉及银行支付等信息,要小心一点,有风险意识。”提供此类服务的互联网平台企业需压实主体责任,履行安全风险评估等义务。
近期,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。
OpenClaw(曾用名 Clawdbot、Moltbot)是一款开源AI智能体,其通过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手,可在本地私有化部署。由于OpenClaw在部署时“信任边界模糊”,且具备自身持续运行、自主决策、调用系统和外部资源等特性,在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作,造成信息泄露、系统受控等一系列安全风险。
建议相关单位和用户在部署和应用OpenClaw时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制,并持续关注官方安全公告和加固建议,防范潜在网络安全风险。
怎么养“龙虾”更安全?
第一,不要在装有重要文件的工作机上安装和使用。用Docker(用于构建、发布及运行应用程序的开源项目)、虚拟机,或者一台闲置的电脑(使用大厂提供的云端版本更方便,也可以避免影响本地系统,但隐私和功能方面稍逊)。
第二,安装好“龙虾”后,先更改端口号,设置只允许本地电脑访问Web界面,不要暴露到公网。再从官方渠道安装用于审核技能是否包含恶意信息的技能(例如skill-vetter等)用来参考。
第三,尽量缩减权限,特别是和财务、本地文件、运行命令或程序相关的权限。要执行这些任务时,一定要手工确认。
第四,设定token(令牌/词元)上限并监控API(应用程序编程接口)用量,也可以考虑使用包月套餐。因为“龙虾”在执行某些复杂或自动化任务时可能消耗大量 token,如果没有合理设置额度,可能带来不小的经济损失。
第五,不要指望它能代替你完成所有工作。
上一篇:超20城优化住房公积金贷款政策
下一篇:伊朗媒体:特朗普,直视她们的眼睛