中国信通院(也就是 CAICT)把话说在前头,给大家伙提了个醒,说那个最近特别火的开源 AI 工具“龙虾”(OpenClaw),哪怕升级了也还是有安全风险。虽然“龙虾”这图标看着挺像只红龙虾,它是通过整合通信软件和大语言模型,能在电脑上自己管理文件、收发邮件啥的,干活挺利索,可这本事也容易惹祸。“龙虾”太聪明了,它自己拿主意或者调用系统资源时,权限都挺大,再加上大家对它的信任边界不清,外面那些技能包市场也没经过严格检查,里面藏着不少暗雷。中国信息通信研究院的魏亮就讲了,“龙虾”更新虽然快,新漏洞也修了,但这不代表事儿就完了。这工具特别容易误解用户的指令,搞不好就把不该删的文件给删掉了,这事儿要是不可逆就麻烦了。要是用了带恶意代码的第三方技能包,数据泄露、系统被黑客控制这种事也就不远了。 所以啊,光升级到最新版本没用,不采取措施根本挡不住外面的攻击。魏亮给大伙支了一招,除了得及时更新软件,还得严格遵守“最小权限、主动防御、持续审计”这几条原则。一旦发现“龙虾”或者别的智能体有啥漏洞或者被攻击了,马上向工信部网络安全威胁和漏洞信息共享平台上报就行。这平台会按规矩把情况查清楚再处理。IT 行业里好多人也都在琢磨这事儿呢。