3月10日,工业和信息化部的网络安全威胁和漏洞信息共享平台还有国家互联网应急中心都对OpenClaw这类工具发了警告。这得追溯到3月5日前后,不少银行机构就因为安全顾虑,把OpenClaw这类平台的使用和部署都严格管控起来了。就在10号的傍晚,国家互联网应急中心还专门放了话,说这东西用在金融、能源这种关键行里,真有可能把核心数据、商业机密或者代码库都给暴露出来,严重的甚至能让整个系统瘫掉,损失根本算不过来。官方这么一提示,大家才回过神来,原来之前用得那么随意,确实有点大意了。 之前因为安装和使用OpenClaw不当,闹出了不少大麻烦,像提示词被恶意注入、操作出岔子、功能插件中毒还有软件漏洞啥的,都让人头疼。国家互联网应急中心也是实在没办法了,只好给大家支了几招:一是强化网络控制,千万别把管理端口随便暴露在外面;二是把密钥管好,别大摇大摆地存到环境变量里;三是选插件得小心,别碰来路不明的东西;四是盯着补丁看紧点,有新版本赶紧升。 同一天人民日报也在文章里提到了这事。中国信息通信研究院副院长魏亮也出来说了实话,他说“龙虾”(指OpenClaw)这玩意儿更新换代快得很,虽然升到最新版本确实能堵住已知的漏洞,但这并不意味着你就能高枕无忧了。作为本地跑的AI代理,“龙虾”有点任性,爱自己做决定还爱调用系统资源,再加上大家对它信任的界限太模糊了,现在的技能包市场又缺乏严格审核,隐藏的风险确实不少。比如说它在调用大语言模型的时候可能会误解你的指令,最后把不该删的文件给删了;或者你用了带病毒的技能包,一下子就把数据泄漏了甚至让系统被别人控制了。哪怕你已经升级到最新版了,要是没采取针对性的防范措施,比如没把实例关在屋里、没管好人的权限、没把密钥藏严实了,照样还是会被黑客盯上。 魏亮最后还劝大家悠着点用“龙虾”这类智能体。要是发现漏洞或者遇到攻击了,赶紧报给工信部那个平台就行。根据那个规定,平台会帮你把问题处理掉的。