近期，一款名為OpenClaw的開源AI智能體因圖標(biāo)設(shè)計為紅色龍蝦形象，被用戶親切地稱為“龍蝦”，在科技領(lǐng)域引發(fā)廣泛關(guān)注。該工具通過整合通信軟件與大語言模型，可自主完成文件管理、郵件處理、數(shù)據(jù)分析等復(fù)雜任務(wù)，其強(qiáng)大的功能推動了我國AI智能體生態(tài)的快速發(fā)展。然而，隨著應(yīng)用范圍的擴(kuò)大，其潛在的安全風(fēng)險也引發(fā)了監(jiān)管部門和專家的警惕。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺此前已發(fā)布預(yù)警，指出“龍蝦”雖通過版本更新修復(fù)了部分已知漏洞，但其自主決策、調(diào)用系統(tǒng)資源等特性，結(jié)合技能包市場審核機(jī)制不完善、信任邊界模糊等問題，仍存在多重安全隱患。例如，大語言模型可能誤解用戶指令，導(dǎo)致誤刪文件等操作；被植入惡意代碼的技能包可能引發(fā)數(shù)據(jù)泄露或系統(tǒng)被控；而實例暴露于公網(wǎng)、使用管理員權(quán)限、密鑰明文存儲等配置問題，即使升級最新版本，若未采取針對性防護(hù)措施，仍可能遭受攻擊。

專家強(qiáng)調(diào)，網(wǎng)絡(luò)安全環(huán)境動態(tài)變化，黑客攻擊手段持續(xù)升級，僅依賴“打補丁”或“升版本”無法提供長期安全保障。黨政機(jī)關(guān)、企事業(yè)單位及個人用戶需審慎評估使用風(fēng)險，若發(fā)現(xiàn)安全漏洞或攻擊事件，應(yīng)第一時間向工業(yè)和信息化部平臺報送，以便及時組織處置。

為降低使用風(fēng)險，專家提出“最小權(quán)限、主動防御、持續(xù)審計”的安全原則，并給出具體建議：首先，用戶應(yīng)從官方渠道下載最新穩(wěn)定版本，開啟自動更新提醒，升級前備份數(shù)據(jù)并驗證補丁有效性，避免使用第三方鏡像或舊版；其次，嚴(yán)格限制實例的互聯(lián)網(wǎng)暴露面，禁止將其部署于公網(wǎng)，采用強(qiáng)密碼、證書或硬件密鑰認(rèn)證，并限制訪問源地址；第三，部署時禁用管理員權(quán)限賬號，僅授予任務(wù)必需的最小權(quán)限，對刪除文件、發(fā)送數(shù)據(jù)等敏感操作設(shè)置二次確認(rèn)或人工審批流程。

針對技能包市場風(fēng)險，專家提醒用戶謹(jǐn)慎使用ClawHub社區(qū)平臺提供的技能包。由于部分技能包可能存在惡意代碼，建議安裝前審查代碼邏輯，拒絕任何要求下載壓縮包、執(zhí)行腳本或輸入密碼的技能包。用戶需防范社會工程學(xué)攻擊，避免點擊陌生鏈接或訪問不明網(wǎng)站，可使用網(wǎng)頁過濾器阻止可疑腳本，并啟用OpenClaw的速率限制和日志審計功能，遇到異常行為立即斷開網(wǎng)絡(luò)并重置密碼。

長期防護(hù)方面，專家建議用戶啟用詳細(xì)日志審計，定期檢查并修補漏洞，結(jié)合網(wǎng)絡(luò)安全工具和殺毒軟件進(jìn)行實時監(jiān)控。同時，需持續(xù)關(guān)注OpenClaw官方安全公告及工業(yè)和信息化部平臺的風(fēng)險預(yù)警，及時調(diào)整防護(hù)策略以應(yīng)對新出現(xiàn)的威脅。用戶在使用“龍蝦”等AI工具時，應(yīng)充分了解安全配置規(guī)范，逐步養(yǎng)成安全操作習(xí)慣，以降低潛在風(fēng)險對個人或組織的影響。