“龍蝦”智能體持續(xù)走熱，如何確保使用安全

新華財經北京3月10日電（記者周圓、唐詩凝）近期，開源AI智能體“龍蝦”持續(xù)走熱，并引發(fā)廣泛討論。其是否存在安全風險、怎樣才能安全使用？對此，記者采訪了中國信息通信研究院副院長魏亮。

所謂“龍蝦”，是開源AI智能體OpenClaw的別稱，因其圖標是紅色的龍蝦而得名?！褒埼r”智能體通過整合調用通信軟件和大語言模型，在用戶本地電腦自主執(zhí)行文件管理、郵件收發(fā)、數據處理等復雜任務。

“但也要注意到，它很強的執(zhí)行能力也給用戶帶來了嚴峻的安全挑戰(zhàn)?！蔽毫琳f，作為本地運行的AI代理，“龍蝦”智能體具有自主決策、調用系統(tǒng)資源等特點，加之信任邊界模糊、技能包市場目前還缺乏嚴格審核，存在不少風險隱患。比如在調用大語言模型時可能誤解用戶指令內容，導致執(zhí)行刪除等有害操作；使用被植入惡意代碼的技能包，可能導致數據泄露或系統(tǒng)受控等。

更新到最新版本，是否就沒有安全風險了？在魏亮看來，更新到官方最新版本，確實能修復已知的安全漏洞，但并不意味著完全消除安全風險。“網絡安全是動態(tài)的，黑客攻擊手法也在不斷迭代，不能把‘打補丁’和‘升版本’當成一勞永逸的安全保障?！?/p>

使用“龍蝦”智能體需要注意哪些？

魏亮認為，必須堅持“最小權限、主動防御、持續(xù)審計”的原則。具體而言，建議從以下幾方面來安全使用“龍蝦”智能體。

——使用官方最新版本。在部署時，要優(yōu)先從官方渠道下載最新穩(wěn)定版，并開啟自動更新提醒。在升級前備份數據，升級后重啟服務并驗證補丁是否生效。

——嚴格控制互聯(lián)網暴露面。不要將“龍蝦”智能體實例暴露到公網，確需互聯(lián)網訪問的，限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式。同時，定期自查是否存在互聯(lián)網暴露情況。

——堅持最小權限原則。在部署時，嚴禁使用管理員權限的賬號，只授予完成任務必需的最小權限，建議在容器或虛擬機中隔離運行，以形成獨立的權限區(qū)域。

——謹慎使用技能市場。ClawHub是專為“龍蝦”智能體用戶提供技能包的社區(qū)平臺，其中的技能包存在惡意投毒風險，建議審慎下載，并在安裝前審查技能包代碼。

——防范社會工程學攻擊和瀏覽器劫持。不要隨意瀏覽來歷不明的網站，避免點擊陌生的網頁鏈接。遇到可疑行為立即斷開網關并重置密碼。

——建立長效防護機制。啟用詳細日志審計功能，定期檢查并修補漏洞。要定期關注工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警。

“廣大用戶在使用‘龍蝦’等AI智能體過程中，一定要把安全底線把握在自己手中，詳細了解并落實安全配置規(guī)范要求，養(yǎng)成安全使用習慣。”魏亮說，有關方面也會持續(xù)做好安全監(jiān)測，如發(fā)現(xiàn)相關安全風險將及時預警，為用戶安全使用提供必要的技術支持。

?

編輯：劉潤榕

?

聲明：新華財經（中國金融信息網）為新華社承建的國家金融信息平臺。任何情況下，本平臺所發(fā)布的信息均不構成投資建議。如有問題，請聯(lián)系客服：400-6123115