近期，一款名為OpenClaw的開源AI智能體因圖標設計為紅色龍蝦形象，被用戶親切地稱為“龍蝦”，在科技領域引發(fā)廣泛關注。該工具通過整合通信軟件與大語言模型，可自主完成文件管理、郵件處理、數(shù)據(jù)分析等復雜任務，其強大的功能推動了我國AI智能體生態(tài)的快速發(fā)展。然而，隨著應用范圍的擴大，其潛在的安全風險也引發(fā)了監(jiān)管部門和專家的警惕。

工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺此前已發(fā)布預警，指出“龍蝦”雖通過版本更新修復了部分已知漏洞，但其自主決策、調用系統(tǒng)資源等特性，結合技能包市場審核機制不完善、信任邊界模糊等問題，仍存在多重安全隱患。例如，大語言模型可能誤解用戶指令，導致誤刪文件等操作；被植入惡意代碼的技能包可能引發(fā)數(shù)據(jù)泄露或系統(tǒng)被控；而實例暴露于公網(wǎng)、使用管理員權限、密鑰明文存儲等配置問題，即使升級最新版本，若未采取針對性防護措施，仍可能遭受攻擊。

專家強調，網(wǎng)絡安全環(huán)境動態(tài)變化，黑客攻擊手段持續(xù)升級，僅依賴“打補丁”或“升版本”無法提供長期安全保障。黨政機關、企事業(yè)單位及個人用戶需審慎評估使用風險，若發(fā)現(xiàn)安全漏洞或攻擊事件，應第一時間向工業(yè)和信息化部平臺報送，以便及時組織處置。

為降低使用風險，專家提出“最小權限、主動防御、持續(xù)審計”的安全原則，并給出具體建議：首先，用戶應從官方渠道下載最新穩(wěn)定版本，開啟自動更新提醒，升級前備份數(shù)據(jù)并驗證補丁有效性，避免使用第三方鏡像或舊版；其次，嚴格限制實例的互聯(lián)網(wǎng)暴露面，禁止將其部署于公網(wǎng)，采用強密碼、證書或硬件密鑰認證，并限制訪問源地址；第三，部署時禁用管理員權限賬號，僅授予任務必需的最小權限，對刪除文件、發(fā)送數(shù)據(jù)等敏感操作設置二次確認或人工審批流程。

針對技能包市場風險，專家提醒用戶謹慎使用ClawHub社區(qū)平臺提供的技能包。由于部分技能包可能存在惡意代碼，建議安裝前審查代碼邏輯，拒絕任何要求下載壓縮包、執(zhí)行腳本或輸入密碼的技能包。用戶需防范社會工程學攻擊，避免點擊陌生鏈接或訪問不明網(wǎng)站，可使用網(wǎng)頁過濾器阻止可疑腳本，并啟用OpenClaw的速率限制和日志審計功能，遇到異常行為立即斷開網(wǎng)絡并重置密碼。

長期防護方面，專家建議用戶啟用詳細日志審計，定期檢查并修補漏洞，結合網(wǎng)絡安全工具和殺毒軟件進行實時監(jiān)控。同時，需持續(xù)關注OpenClaw官方安全公告及工業(yè)和信息化部平臺的風險預警，及時調整防護策略以應對新出現(xiàn)的威脅。用戶在使用“龍蝦”等AI工具時，應充分了解安全配置規(guī)范，逐步養(yǎng)成安全操作習慣，以降低潛在風險對個人或組織的影響。