國安部發佈養“蝦”安全手冊
|
| | | 
|
開源AI智能體“龍蝦”持續走熱,引發廣泛討論。
(新華社)
|
| 國安部發佈養“蝦”安全手冊 【本報綜合報道】據香港中通社、央視網十七日消息:國家安全部十七日發佈“龍蝦”(OpenClaw)安全養殖手冊,就OpenClaw的使用風險提出權威指引。 OpenClaw(暱稱“龍蝦”)是一款開源AI智能體工具,上線不久便迅速成長為二○二六年度現象級“開源奇蹟”。不少用戶從付費安裝“龍蝦”,到付費卸載“龍蝦”,養“龍蝦”正在成為一場智能體的狂歡。但火熱的“龍蝦”在創新改變生活的同時,也存在原生風險。 提醒存在風險隱患 國安部指出,“龍蝦”智能體通過整合通信軟件和大語言模型,依托高權限實現自主操作,成為其核心優勢。“龍蝦”可以通過聊天程序遠程執行用戶指令,自主完成任務。“龍蝦”內置了大量技能插件,用戶可直接下載使用,形成覆蓋文件管理、郵件撰寫、日曆調度、網頁瀏覽、定時任務等多場景的工具鏈。“龍蝦”可以長期記憶用戶使用記錄,持續理解用戶行為偏好,“越用越懂用戶”。“龍蝦”還可根據用戶要求,主動感知外部情況,主動觸發預警或執行動作,完成“夜間下達指令、晨間獲取成果”的智能服務。 養“龍蝦”的風險隱患包括:主機可能被接管。為實現“做事”能力,用戶常賦予其最高系統權限,可能引發因AI誤操作造成的數據損失。更嚴重的是,運行後可能被攻擊者神不知鬼不覺獲取設備管理權限,從而引發主機被遠程操控,資源被非法佔用等安全風險。 數據可能被竊取。部分用戶缺乏數據安全意識,個人敏感數據交由“龍蝦”處理,一旦被攻破,可能造成個人隱私洩露,帶來財產與安全風險。 言論可能被篡改。“龍蝦”智能體可在社交網絡自主發聲,一旦被攻擊者接管,可能被用於生成和傳播虛假信息、實施詐騙等不法活動。 技術可能有漏洞。“龍蝦”缺乏專業維護與漏洞修復機制,攻擊者可能通過惡意插件投毒等方式,誘導智能體突破權限管控,主動竊取本地設備的核心敏感信息,其隱蔽性遠超傳統木馬程序。 國安部提醒養“蝦”人,給自己的“龍蝦”全面體檢,檢查控制界面是否暴露在公網、權限配置是否過高、存儲的憑證是否已洩露、安裝的插件來源是否可信等問題。對於嚴重安全風險,請立即採取隔離、下線等處置措施;同時,為自己的“龍蝦”做好防護,必須遵循最小權限原則,嚴格限制智能體的操作範圍。對存儲的敏感數據必須進行加密,建立完整的操作審計日誌,盡量在隔離環境(如專用虛擬機、沙箱)中運行“龍蝦”,限制其對核心資源的訪問。 “龍蝦”非數字寵物 國安部指出,“龍蝦”並非供人娛樂的數字寵物,而是能夠自主執行任務、承擔流程操作、持續學習成長的“數字員工”,養“蝦”人應理性看待、規範使用,讓其在合規、安全、可控的前提下成為提升治理效能,服務生產生活的數字化生產工具。 據奇安信十六日發佈的最新報告,美國和中國是OpenClaw部署最集中的國家。中國主要部署在北京、上海、廣東、香港、浙江等地。報告披露,截至本月十三日,全球範圍發現二萬○四百七十一個OpenClaw實例可能存在安全漏洞,覆蓋一萬三千六百四十三個IP地址。接近百分之九暴露在互聯網的OpenClaw資產存在漏洞風險,安全風險不容忽視。
|