“养龙虾”虽然能带来便利,可风险很大。360这次给咱们推了个指南。罗亦丹记者听说最近“养龙虾”火了,也就是部署OpenClaw。国家互联网应急中心还发了个提示,说要是默认配置没设好安全锁,万一黑客攻破了,系统就被人完全控制,数据泄露或者业务瘫痪都有可能发生。 3月11日,为了应对这种新挑战,360集团拿出了国内第一份《OpenClaw安全部署与实践指南》。他们认为AI智能体就像个人的数字分身,一旦被坏人利用,破坏力太大了。所以从一开始就建个安全机制特别关键。 这个指南里总结了好几种常见的风险,比如管理接口直接暴露在公网上、API Key给别人了、Shell工具被越权调用、提示词注入攻击、记忆模块被下毒、第三方插件供应链有问题还有多个智能体一起用的时候失控了。 这次最危险也最容易让人忽略的就是提示词注入和插件供应链攻击。要是被人利用,黑客就能骗智能体干坏事。 为了让大家都能安全地用AI智能体,360建议大家先搞懂怎么控住它,然后再提效率。针对个人或者小团队的人来说,最好别直接在电脑里用高权限跑智能体。最好是用容器化技术隔离起来,再加上最小权限策略、密钥加密注入还有防止配置文件被改的措施。 至于政企机构那种多智能体一起用的大场景,360提出来用零信任理念来做整体架构。系统外面装个安全网关统一管流量和数据泄露检测;系统里面搞多租户管理和RBAC细粒度权限分配;最后把操作日志都接到安全平台上分析异常操作。