最近,开源AI代理OpenClaw(又名“龙虾”)受到关注,市场上出现了远程访问或安装OpenClaw的服务。与此同时,OpenClaw潜在的安全风险以及使用过程中可能产生的高昂费用也引起了争议。很多网友都表示打算卸载OpenClaw,网上也贴出了很多OpenClaw卸载教程。 3月10日,某交易平台出现卸载OpenClaw的服务。该卖家的IP地址在上海可见,给出的OpenClaw现场卸载费率为299元(仅限上海),远程卸载OpenClaw费率为199元,并称其“安全、完整、无残留”。工信部专家建议谨慎使用龙虾。开源人工智能代理OpenClaw(俗称“龙虾”)在这几年变得非常流行是的。中国信息通信研究院专家今日重申,虽然Lobster代理已更新至最新版本,可以修复已知安全漏洞,但并不能完全杜绝安全风险。此前,工信部网络安全漏洞威胁信息共享平台发布了相关安全风险提示。开源AI代理工具OpenClaw因其图标是一只红色龙虾而被称为“龙虾”。通过集成和调用大型通信软件和语言模型,您可以在用户计算机上自主执行复杂的任务,例如管理文件、发送和接收电子邮件以及处理数据。专家指出,“蝗虫”出现后,引起了中国业界和用户的高度关注。他们都积极开展实际应用,推动了我国人工智能智能的蓬勃发展igent 代理生态系统。但同样值得注意的是,Lobster强大的执行能力给用户带来了严峻的安全挑战。 2月5日,工信部网络安全漏洞与威胁信息共享平台发布了《防范开源AI代理OpenClaw安全风险预警提示》,针对现有安全风险提出了若干防范建议。目前,将Lobster代理更新至最新官方版本修复了已知的安全漏洞,但并不能完全杜绝安全隐患。 “龙虾”的特点是自主决策和利用系统资源。此外,信任的界限模糊,技能包市场缺乏严格的研究。其中隐藏着很多风险。例如,在调用大型语言模型时,用户的指令可能会被误解,从而导致删除等有害操作。使用技能包恶意代码可能导致数据泄露和系统被接管。即使您升级到最新版本,如果由于配置问题(例如将实例暴露到 Internet、使用管理员权限以及以明文形式存储密钥)而未采取特定的预防措施,您仍然面临遭受攻击的风险。网络安全是动态的,黑客的攻击手段不断重复。 “补丁”和“版本更新”不被视为“独特”的安全保证。专家提醒各方、政府机关、企事业单位和个人用户谨慎使用“龙虾”等智能代理。如果发现“龙虾”等智能体存在安全漏洞,或者针对“龙虾”等智能体体内发生安全威胁或攻击,可以第一时间向工信部网络安全漏洞威胁信息共享平台报告。该平台组织并按照《网络产品安全漏洞管理规定》的要求及时处理。网络产品的安全使用需要及时的改进和更新,以及“最少权限和主动性”。还必须坚持“防御、持续审核”的原则。专家从以下几个角度建议您安全使用“龙虾”代理: 首先,使用官方最新版本。部署时,应优先从官方渠道下载最新稳定版本,并开启自动更新提醒。请在更新前备份数据并在更新后重启服务以检查补丁是否有效。切勿使用第三方镜像或旧版本。二是严格控制网络曝光。避免将您的 Lobster 代理实例暴露到公共网络,限制对源地址的访问,并避免使用强密码或 ce 等身份验证方法证书或硬件密钥。第三,尊重最小特权原则。部署过程中严禁使用具有管理员权限的帐户。仅授予完成任务所需的最低权限。删除文件、传输数据、更改系统配置等关键操作需要二次审核或人工审批。第四,明智地利用技能市场。 ClawHub是一个社区平台,旨在为“龙虾”代理的用户提供技能包。其包含的技能包存在恶意中毒的风险。建议您仔细下载并检查技能包代码后再安装。需要下载 zip、运行 shell 脚本或输入密码的技能包将被拒绝。第五,防止社会工程攻击和浏览器劫持。不要随意浏览来源不明的网站或点击来历不明的网页链接。我们建议使用扩展程序,例如网页过滤器阻止可疑命令流、启用 OpenClaw 的速率限制和日志审核功能,并在遇到可疑行为时立即断开网关并重置密码。六是长效保障机制建立。启用详细的日志审核并定期检查和修补漏洞。机关、企事业单位和个人用户可以利用网络安全防护工具和常规杀毒软件进行实时防护。您应定期关注OpenClaw官方安全公告、工信部网络安全威胁与漏洞信息共享平台等漏洞库中的风险提示,及时处理潜在的安全风险。用户在使用Lobster等AI代理时,必须了解并落实详细的安全配置要求,养成安全的使用习惯。苏rce:大象新闻中国新闻联播央视新闻