“龙虾”还没养熟 信用卡先被刷爆了 AI代理安全引关注。最近,一名开发者在社交平台上分享了一则关于AI代理工具OpenClaw的安全事件。他的朋友在使用该工具编写程序时,将浏览器通过VNC远程桌面开放至公网,几天后信用卡被连续盗刷,额度几乎被刷空。这一帖子引发了技术社区对AI代理安全性的广泛讨论。
就在几天前,OpenClaw在开发者社区迅速走红。由于其项目标识是一只龙虾,用户将部署和使用该系统形象地称为“养龙虾”。与传统聊天式AI助手不同,这类工具在获得授权后可以读取文件、调用浏览器、运行程序并自动执行任务,被不少用户视为能够“替人干活”的数字助手。
随着热度上升,监管部门也开始发出风险提示。工业和信息化部发布公告称,在默认或不当配置情况下,OpenClaw可能存在网络攻击和信息泄露风险,并建议相关单位和个人在部署使用时加强安全防护。金融行业也对此保持谨慎态度,多位银行人士表示,目前银行内部网络对OpenClaw等AI代理工具的接入仍然严格受限;不过有券商团队已在试水。
投资者李娜(化名)分享了她使用OpenClaw进行投资理财和日常事务自动化的情况。她每天自动执行信息收集、股票监控和投资策略回测等任务。另一位用户张伟(化名)则将OpenClaw打造成“数字巴菲特”或24小时在线的助手,实现信息收集和决策辅助自动化。他发现,初期系统完成度约50%,存在Bug和信息格式不完美等问题,但整体体验令人兴奋。
然而,随着越来越多用户涌入和关注,OpenClaw的风险问题也逐渐浮现。一名开发者解释称,盗刷问题很可能出在OpenClaw的部署方式上。在一些默认或不当配置情况下,相关服务会监听0.0.0.0地址,意味着允许来自公网的访问。如果用户没有额外限制访问权限,任何人都可能连接到该设备。他建议在部署服务时通常只开放本地地址,再通过加密隧道连接,以降低风险。
