近期，開源AI智能體OpenClaw（俗稱“龍蝦”）異?；鸨?，中國信息通信研究院專家今天（10日）再次提示，盡管“龍蝦”智能體已經(jīng)更新到最新版本，能修復已知的安全漏洞，但并不意味著完全消除安全風險。此前，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺已經(jīng)發(fā)布過相關安全風險提示。

開源AI智能體工具OpenClaw因圖標是一只紅色龍蝦，被大家稱為“龍蝦”。它通過整合調(diào)用通信軟件和大語言模型，在用戶電腦上自主執(zhí)行文件管理、郵件收發(fā)、數(shù)據(jù)處理等復雜任務。

“龍蝦”具有自主決策、調(diào)用系統(tǒng)資源等特點，加上信任邊界模糊、技能包市場缺乏嚴格審核，存在不少風險隱患。網(wǎng)絡安全是動態(tài)變化的，黑客攻擊手法也在不斷迭代，不能把“打補丁”和“升版本”當成“一勞永逸”的安全保障。

專家呼吁，黨政機關、企事業(yè)單位和個人用戶要審慎使用“龍蝦”等智能體。在發(fā)現(xiàn)“龍蝦”等智能體的安全漏洞，或者針對“龍蝦”等智能體的安全威脅和攻擊事件時，可以第一時間向工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺報送，平臺將按照《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》要求，及時組織處置。

任何網(wǎng)絡產(chǎn)品的安全使用，除了及時進行升級更新外，還必須堅持“最小權限、主動防御、持續(xù)審計”的原則。專家建議，從以下幾方面來安全使用“龍蝦”智能體：

使用官方最新版本。在部署時，要優(yōu)先從官方渠道下載最新穩(wěn)定版，并開啟自動更新提醒。在升級前備份數(shù)據(jù)，升級后重啟服務并驗證補丁是否生效。切勿使用第三方鏡像或舊版。

嚴格控制互聯(lián)網(wǎng)暴露面。一定不要將“龍蝦”智能體實例暴露到公網(wǎng)，并且限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式。

堅持最小權限原則。在部署時，嚴禁使用管理員權限的賬號，只授予完成任務必需的最小權限，對刪除文件、發(fā)送數(shù)據(jù)、修改系統(tǒng)配置等重要操作進行二次確認或人工審批。

謹慎使用技能市場。ClawHub是專為“龍蝦”智能體用戶提供技能包的社區(qū)平臺，其中的技能包存在惡意投毒風險，建議審慎下載，并在安裝前審查技能包代碼，拒絕任何要求“下載zip”“執(zhí)行shell腳本”或“輸入密碼”的技能包。

防范社會工程學攻擊和瀏覽器劫持。不要隨意瀏覽來歷不明的網(wǎng)站，避免點擊陌生的網(wǎng)頁鏈接。建議使用網(wǎng)頁過濾器等擴展阻止可疑腳本，啟用OpenClaw速率限制和日志審計功能，遇到可疑行為立即斷開網(wǎng)關并重置密碼。

建立長效防護機制。啟用詳細日志審計功能，定期檢查并修補漏洞，黨政機關、企事業(yè)單位和個人用戶可以結(jié)合網(wǎng)絡安全防護工具、主流殺毒軟件進行實時防護。要定期關注OpenClaw官方安全公告、工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警，及時處置可能存在的安全風險。

用戶在使用“龍蝦”等AI智能體的過程中，一定要詳細了解并落實安全配置規(guī)范要求，養(yǎng)成安全使用習慣。

▌本文來源：央視新聞微信公眾號（ID：cctvnewscenter）

監(jiān)制/李浙 主編/米莎

總臺央視記者/王世玉 孫薊濰

編輯/秦靜