最近有个叫OpenClaw的AI智能体因为长得像红色龙虾,大家都管它叫“龙虾”,这东西挺火的。它能把通信软件和大语言模型结合起来,自己就能在你电脑上干文件管理、处理邮件和分析数据这些活儿。虽然这次它更新了版本也修了一些漏洞,但中国信息通信研究院的专家说了,风险还是没彻底解决。主要原因是它太自主了,边界又不清晰,再加上那些技能包市场没人好好审核,黑客们下手特别容易。光靠版本更新和打补丁根本拦不住越来越狡猾的攻击手段,之前工业和信息化部那个平台也提醒过大家要小心。 针对怎么安全用这东西,专家给了三条主意:最小权限、主动防御、持续审计。具体怎么做呢?先把最新的稳定版本从官方渠道下下来,记得开自动更新提醒,升级前先把重要的数据备份好。部署的时候千万不要让它在公网上瞎晃悠,给个强密码或者硬件密钥来验证身份,还要锁死访问来源。权限方面要做到最小化,只给它必须用的权限就行了,敏感操作最好设置个二次确认或者要人来审批。 还有ClawHub这个技能包市场也有坑。作为“龙虾”的社区平台,里面的技能包很容易藏着恶意代码。咱们下载前一定要仔细看看代码逻辑,凡是让你输密码、执行脚本或者下压缩包的东西都别信。平时得防着那些社会工程学攻击,别点可疑的链接或者网站,启用过滤器和限制访问速度。要是发现有什么不对劲儿的地方立马改密码断网。 为了长期保护自己的系统安全,得开详细的日志记录功能定期检查漏洞,杀毒软件和网络安全工具也得一起开着盯着。平时还要多看看OpenClaw发的安全公告和工信部那边的预警信息。 专家最后强调了一句:光有技术更新不够用,得咱们自己动手去配置好、养成好习惯才行。