中国信息通信研究院,也就是CAICT,最近发了篇文章,提醒大家开源AI工具OpenClaw更新后还是有安全风险。这个工具因为图标像个红色龙虾,网友们都管它叫“龙虾”。它能在用户电脑上自动执行文件管理、发邮件还有数据处理这些复杂任务。中国信通院副院长魏亮分析说,虽然官方新版本修好了已知漏洞,但安全风险没彻底消除。 这个工具权限太大了,它能自己做决定,调用系统资源。再加上系统信任边界不清楚,技能包里也没严格审核过,隐患很多。魏亮还提到,它在调用大语言模型时很容易误解指令内容,比如删除文件这种事。要是用了恶意代码的技能包,数据泄露、系统被黑都是分分钟的事儿。 所以呢,光升级到最新版本还不够,还得严格遵循“最小权限、主动防御、持续审计”的原则来防护。工业和信息化部的网络安全威胁和漏洞信息共享平台在2月5日就给过提示了。要是发现了安全漏洞或者遇到攻击事件,赶紧上报给工信部平台就行。 魏亮还说,大家在日常用的时候除了及时更新软件外,要注意防范措施。“龙虾”这种智能体更新特别快,官方修复了漏洞也不代表完全安全。用户要是不采取针对性措施,照样挡不住网络攻击。