本文轉自【央廣網】;
被網友戲稱為「AI龍蝦」的OpenClaw,眼下正掀起「領養」熱潮。全國多地也迅速跟進,發布政策支持OpenClaw和OPC發展。
工信部:
防範OpenClaw安全風險
「六要六不要」
3月11日,工業和信息化部網絡安全威脅和漏洞信息共享平台發布關於防範OpenClaw(「龍蝦」)開源智能體安全風險的「六要六不要」建議。
(一)使用官方最新版本。要從官方渠道下載最新穩定版本,並開啓自動更新提醒;在升級前備份數據,升級後重啓服務並驗證補丁是否生效。不要使用第三方鏡像版本或歷史版本。
(二)嚴格控制互聯網暴露面。要定期自查是否存在互聯網暴露情況,一旦發現立即下線整改。不要將「龍蝦」智能體實例暴露到互聯網,確需互聯網訪問的可以使用SSH等加密通道,並限制訪問源地址,使用強密碼或證書、硬件密鑰等認證方式。
(三)堅持最小權限原則。要根據業務需要授予完成任務必需的最小權限,對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批。優先考慮在容器或虛擬機中隔離運行,形成獨立的權限區域。不要在部署時使用管理員權限賬號。
(四)謹慎使用技能市場。要審慎下載ClawHub「技能包」,並在安裝前審查技能包代碼。不要使用要求「下載ZIP」「執行shell腳本」或「輸入密碼」的技能包。
(五)防範社會工程學攻擊和瀏覽器劫持。要使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本,啓用日誌審計功能,遇到可疑行為立即斷開網關並重置密碼。不要瀏覽來歷不明的網站、點擊陌生的網頁鏈接、讀取不可信文檔。
(六)建立長效防護機制。要定期檢查並修補漏洞,及時關注OpenClaw官方安全公告、工業和信息化部網絡安全威脅和漏洞信息共享平台等漏洞庫的風險預警。黨政機關、企事業單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件進行實時防護,及時處置可能存在的安全風險。不要禁用詳細日誌審計功能。
「AI龍蝦」人人都能養?
專家:小心這些安全風險
在熱情佈局的同時,一個不容忽視的現實問題浮出水面:如何確保這隻「龍蝦」在高效的同時,也能安全地「幹活」?
江蘇常州一企業產品總監坦言,試用OpenClaw整理文件時,它偶爾會「自作主張」刪除其認為不重要的文件,「如果不經過多次指令優化和精細化‘養育’,很難完全達到複雜的業務需求。」
「我們觀察到,OpenClaw對於普通用戶而言,安裝複雜度是顯性門檻,權限與安全是隱性核心門檻。」江蘇匯智智能數字科技有限公司產品負責人王亮表示,「我們的思路是採用‘最小權限+分級管控+安全審計’的機制,不完全接管電腦,兼顧安全與效率。」
專家提醒,從下載到安裝到使用,每一步都得注意,如果不具備相應的技術素養,很容易步步驚心。
給「AI龍蝦」開的權限太高,把你個人隱私泄露了,你不知道。
「AI龍蝦」裸奔被黑客靜默接管了,你不知道。
「AI龍蝦」加了僞裝的技能中毒了,你還是不知道。
這就不是「養蝦」了,是「瞎養」。
有人說,現在互聯網大公司都推出「AI龍蝦」服務了。但真用起來,各種具體場景下的安全風險也不少。
用「AI龍蝦」智能辦公,就存在自身辦公網絡被攻擊的風險。
用「AI龍蝦」炒股,就得小心交易被非授權接管。
做運維搞開發,要提防核心代碼被偷。
個人助理,要謹防關鍵信息泄露。
這些安全風險必須得先知道,再看「AI龍蝦」服務的提供方能不能保障咱的信息安全,然後再做決定。
來源:央廣網江蘇頻道、央視新聞