近期,开源AI智能体“龙虾”异常火爆,不仅受到国内产业界和广大用户的广泛关注,大家也积极开展实践应用。互联网上针对“龙虾”智能体安全的探讨也非常多,工业和信息化部网络安全威胁和漏洞信息共享平台曾发布过相关的安全风险提示。
关于“养龙虾”是否安全的问题,中国信息通信研究院副院长魏亮表示,“龙虾”是开源AI智能体OpenClaw的别称,因其图标为红色龙虾而得名。它通过整合调用通信软件和大语言模型,在用户本地电脑自主执行文件管理、邮件收发、数据处理等复杂任务。“龙虾”出现后,推动了我国AI智能体生态的繁荣,但其强大的执行能力也带来了严峻的安全挑战。工信部网络安全威胁和漏洞信息共享平台发布了关于防范OpenClaw开源AI智能体安全风险的预警提示,并给出了一些防范建议。
尽管“龙虾”智能体更新迭代迅速,通过更新到官方最新版本可以修复已知的安全漏洞,但这并不意味着完全消除安全风险。作为本地运行的AI代理,“龙虾”具有自主决策、调用系统资源等特点,加之信任边界模糊、技能包市场缺乏严格审核等问题,存在不少风险隐患。例如,在调用大语言模型时可能误解用户指令内容,导致执行删除等有害操作;使用被植入恶意代码的技能包可能导致数据泄露或系统受控;配置问题如将实例暴露于互联网、使用管理员权限、明文存储密钥等,即使升级到最新版本,若不采取针对性的防范措施,依然存在被攻击的风险。网络安全是动态变化的,黑客攻击手法也在不断迭代,不能仅靠“打补丁”和“升版本”来保障安全。
魏亮呼吁党政机关、企事业单位和个人用户审慎使用“龙虾”等智能体。在发现安全漏洞或针对“龙虾”的安全威胁和攻击事件时,应第一时间向工信部网络安全威胁和漏洞信息共享平台报送,平台将及时组织处置,维护网络安全,保障用户权益。
