龙虾尝鲜这事儿,风险大了去了!就在3月8日这天下午,在上海某个做免费安装OpenClaw的会议室内,百度智能云泛科技业务部的高级总监柯非那是被围得水泄不通,上百号人把他围在中间,提的各种问题简直能把天捅破,“绝大多数都是‘零基础小白’问出来的。”现场有个陈先生的问题特别逗乐,“我能不能把这‘龙虾’卸载掉?”原来,他头天在网上花了40元找了个远程安装的店客服,“养虾”全程权限全给了对方。结果呢?他刚发了个“你好”,那边只简单回了几句就没声儿了。更吓人的是,5分钟后反诈中心的电话就打到他那儿。虽然反诈中心的电话不一定是OpenClaw搞的鬼,但陈先生哪能不慌?“养了一天‘龙虾’的人立马就想‘杀’掉它。”那OpenClaw为啥这么厉害呢?就是因为权限高啊!读写文件、操控浏览器、管理邮件样样精通。要是让它执行错了命令删错了文件,或者被恶意Skill(技能包)注入坏指令,那后果可就不是开玩笑了。像今年2月国外就出了事,有1184个恶意技能包把13.5万台设备给“毒死”了。有的用户用了这些技能包直接触发谷歌检测,账号邮箱全封了。高睿也说了ClawHub官方平台上有超过1.3万个技能包供下载,里头居然有上百个带恶意代码的东西。最近工业和信息化部那边也监测到了OpenClaw在默认设置下漏洞不少。“一旦被攻击电脑就不归你管了。”柯非建议普通用户最好别在主力电脑上装这玩意儿。高睿也劝大家别跟风。现在这玩意儿安装门槛高、调试难,就算装好了普通用户也玩不转。 提到这个安装门槛问题吧,柯非和高睿都提过一遍。高睿还特意强调说OpenClaw是百度智能云搞的项目。至于柯非是怎么介绍这事儿的呢?他说ClawHub是个平台上面放着各种Skill(技能包)。那Skill到底是干啥的?就是给OpenClaw用的技能包。而且柯非还提到了3月8日这天的情况。现场那个陈先生的遭遇特别典型。 讲到这次测试数据吧,高睿拿出来说第三方安全平台测的结果是ClawHub上超过1.3万个Skill里头有问题的有好几百个。这可是个大新闻。而且还提到了今年2月国外发生的1184个恶意Skill攻击事件影响了13.5万台设备。这真是触目惊心的数字。还有用户因为用了恶意Skill导致谷歌账号被封、邮箱不能用的情况也是真的。 现在工业和信息化部那边也在关注这个风险。监测发现OpenClaw在一些不当配置下安全风险特别高。这就是为什么柯非会在3月8日的现场这么提醒大家——别在主力电脑上装这种东西。普通用户真没必要跟风去搞什么“养虾”。哪怕是真的把OpenClaw装上了,大部分用户也发挥不出它的本事来。 柯非还特别打了个比方说一旦被黑客控制你的电脑就完全听别人的了。所以他才会建议大家在云服务器上“养虾”。因为在云服务器上的话哪怕被植入恶意技能包只要重启一下服务器就行了不会伤害到本地的核心数据。 说到这次测试数据中的ClawHub平台高睿是这么说的——上面有超过1.3万个Skill供下载其中上百个包含恶意代码能绕过验证进行加密货币盗窃凭证窃取等攻击行为。 最后提到的就是那个远程安装OpenClaw的情况了陈先生就是在头天通过网络下单花了40元交给网店客服“养虾”全程权限全给了对方结果只发送了一句“你好”对方简单回复后就没回应了紧接着就接到反诈中心电话他那时候真的是慌了——因为他的电脑权限全在那个网店客服手里里面所有的信息资料都可能被看到了——是不是已经中招了? 于是他在3月8日下午的活动现场把这事儿跟柯非说了想让他帮着卸载OpenClaw可那时候大家都在问各种安装的问题他的求助声在一片嘈杂声中显得格外特别因为大部分人都是在问“能不能在手机上装?”或者“一台电脑能装两个吗?”这些问题都是零基础小白才会问的而柯非在现场也被问到了这些问题甚至连“安装了运行不了怎么办?”这种具体的操作问题都被问了出来而他却觉得这是在正常不过的事情了因为绝大多数问这些问题的都是零基础小白只有那个陈先生的问题显得有些不同他只是想卸载掉自己前一天通过网络下单花40元请客服远程安装的OpenClaw因为他觉得自己已经中招了所以才慌慌张张地跑来求助想要“杀”掉这只“龙虾”。