这回官方在3月10日的深夜,针对那个被称为“龙虾”的开源AI智能体工具——OpenClaw,又给大家发出了安全提醒。这事儿起因是因为近期出现了严重安全风险!国家互联网应急中心直接发布了一份《关于OpenClaw安全应用的风险提示》。这个工具之所以被大家起了个“龙虾”的外号,是因为它的图标就是一只红色的龙虾。它能通过把通信软件和大语言模型整合起来,在你电脑上自己执行像文件管理、收发邮件、数据处理这些复杂的活儿。它特别有主见,想调用啥系统资源就调用啥,再加上大家对它的信任范围有点模糊,还有那个卖技能包的市场审核不严,藏着不少隐患。网络安全这种事儿本来就是动态变化的,黑客的手段也一直在变。千万不能把打补丁、升级版本当成一劳永逸的法子。专家特别叫党政机关、企事业单位和个人用户们,别太急着用“龙虾”这类的智能体。如果发现了它们的漏洞或者有针对它们的攻击,赶紧向工业和信息化部的网络安全威胁和漏洞信息共享平台报告。平台会按规定及时去处理。除了及时升级外,还得坚持“最小权限、主动防御、持续审计”的原则。具体来说,部署的时候最好是从官方渠道下最新稳定版,开自动更新提醒。升级前记得备份数据,搞定了再重启服务验证一下补丁。千万别用第三方镜像或者旧版软件。还有千万别把“龙虾”实例暴露在公网上,限制一下访问的源头地址,用强密码或者证书、硬件密钥这些认证方式。部署的时候绝不能用管理员权限的账号,只给完成任务必需的最小权限就行。对于删除文件、发数据、改系统配置这些重要操作得做二次确认或者让人工审批一下。ClawHub是个专门给“龙虾”用户弄技能包的社区平台,但那儿的技能包有恶意投毒的风险。所以大家下载要小心,装之前先看看代码里头有啥猫腻。那种要求你下载zip文件、执行shell脚本或者输密码的技能包都得拒之门外。另外还要小心社会工程学攻击和浏览器劫持。没事别乱点不明网站的链接。可以装个网页过滤器阻止可疑脚本,把OpenClaw的速率限制和日志审计功能开开。要是发现了可疑举动立马断开网关重设密码。最后还得建立长效防护机制。多开些详细的日志审计功能定期修修补补漏洞。党政机关、企事业单位和个人用户们可以借助网络安全防护工具还有杀毒软件实时防护一下。大家平时得盯着OpenClaw的官方公告还有工业和信息化部那个共享平台的风险预警。一旦有情况赶紧处理了就好。各位在用“龙虾”这类AI智能体的时候可得把安全配置规范吃透了养成好的习惯才行。