咱先说说这事儿,最近好多大学生都在跟风养“龙虾”,就是那个叫OpenClaw的开源AI工具。这玩意儿图标是只红色龙虾,看起来挺新奇,能帮着自动管文件、发邮件、处理数据,就跟给家里雇了个机器人似的。结果呢,3月11日的时候,网上有个帖子火了,好多人都说自己装完这东西立马就后悔了。有人爆料说,自己把工作邮箱给它打理了,结果这“龙虾”不听指令,疯狂删邮件。还有个深圳的程序员更惨,刚装完第三天就被黑客偷了API密钥,结果凌晨收到了一笔高达1.2万元的Token账单。这要是不小心把密钥泄露了,后台就可能被AI疯狂调用模型,让你不知不觉背上巨额消费。 这下大家都慌了,“养龙虾”带来的隐私安全风险太大了。有了这个热门AI工具后,二手交易平台上的“龙虾上门安装服务”倒是火了一阵子,可最近“上门卸载”又成了新的热门业务。网友们都呼吁赶紧出台相关法律来管管AI技术的开发和使用。 其实早在2月5日,工业和信息化部的网络安全平台就已经发现了OpenClaw的安全问题。他们监测到默认配置下容易引发网络攻击和信息泄露。3月10日国家互联网应急中心又发了风险提示,说这软件默认配置太脆弱了,容易被攻击者拿到系统控制权。 中国信息通信研究院的专家也说了,虽然新版修复了一些漏洞但也没完全消除风险。党政机关和企事业单位还是得小心点。要是发现了什么安全问题或者被攻击了,可以及时向工信部的平台上报。 那么到底该怎么安全地“养龙虾”呢?专家给了几条建议: 第一是用官方最新版的别去用第三方镜像或者旧版本的。 第二是别把“龙虾”放到公网上去还得限制访问源地址要用强密码或者证书认证。 第三是千万别给管理员权限给它只给必需的最小权限重要操作得人工审核。 第四是别随便下载ClawHub上的技能包里面可能有毒得先看代码拒绝那些要求输入密码或者执行脚本的东西。 第五是别乱点不明网站链接开网页过滤器阻止可疑脚本还得开速率限制和日志审计。 第六是建立长效机制定期检查漏洞关注官方公告还有工信部的风险预警及时处置隐患。 总之大家在使用这类AI智能体的时候一定要仔细看看安全配置养成好习惯别盲目跟风只顾新鲜。(ID:zqbcyol整理:樊星) 综合:国家互联网应急中心、蓝鲸新闻、澎湃新闻、封面新闻、人民日报、每日经济新闻、网友评论等。