3月8日,一则养“龙虾”的话题把热搜榜给霸屏了。这里的“龙虾”不是海鲜,而是一款叫OpenClaw的开源AI智能体,图标看着像是只红色的大龙虾,大家就把它当作宠物养了起来,训练过程也被调侃成是“养龙虾”。 这个智能体挺全能的,能接管电脑上的各种软件。只要你给它一句指令,它就能帮你整理文件、回邮件、安排日程。跟ChatGPT只能提建议不一样,它更像是一位随叫随到的执行者。这是因为它结合了本地私有化部署、大语言模型还有多渠道通信的能力,让AI在本地拥有了记忆和主动行为。 虽说网上有说它像DeepSeek那样能零配置启动,但真正把它跑起来并不容易。起码得先搞定三件事:Docker、GPU、Python版本这三个本地环境配置;给AI设定信任边界,决定它能走多远;以及设置指令过滤规则防止越权。只有这三道坎都迈过去了,“龙虾”才不会反客为主。 工信部最近也敲了警钟,指出OpenClaw(之前的名字有Clawdbot、Moltbot)在默认或配置不当的情况下很容易被攻击。有些实例因为公网暴露、权限过大还有审计缺失,已经出现了信息泄露甚至被远程接管的苗头。具体的风险点包括信任边界模糊、权限控制不严还有缺少审计日志。 官方给的建议也很实在:把不必要的公网访问关掉,只允许内网调用;给AI的权限收紧到最小够用就行;数据落地前先加密并且保留操作日志;还要及时关注官方补丁。把这些动作都做完了,“龙虾”就没机会越界了。 最后总结一下:在享受AI带来的便利的同时,我们必须守住安全的底线。只有把权限锁死、审计打开、更新跟上,我们才能在享受智能的同时保护好自己的数据和隐私。技术本身并没有错,关键看怎么用。