中国工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)11日晚针对近期爆火的开源AI智能体OpenClaw(俗称“龙虾”)发布专项安全预警,首次提出“六要六不要”使用建议,以应对该技术在大规模普及中暴露出的严重安全隐患。
OpenClaw官网截图
“龙虾”因能直接操控本地设备、执行跨应用任务而迅速走红,但其高权限运行模式也带来巨大风险。工信部明确指出四大高危场景:智能办公易遭供应链攻击与内网渗透;开发运维面临系统被劫持、代码泄露;个人助手可能窃取隐私;金融交易则存在账户被接管甚至错误操作风险。
为此,工信部联合智能体厂商、安全企业等制定“六要六不要”防护准则:一要使用官方最新版本,禁用第三方镜像;二要严控互联网暴露面,避免默认端口公网开放;三要坚持最小权限原则,重要操作需二次确认;四要谨慎使用技能市场,拒绝要求执行脚本或输入密码的插件;五要防范社会工程学攻击,启用浏览器沙箱与日志审计;六要建立长效防护机制,持续跟踪漏洞公告并保留完整日志。
此前,国家互联网应急中心已警告,OpenClaw存在提示词注入、误删数据、插件投毒及高危漏洞等多重风险。有安全团队发现,超20万个“龙虾”实例裸露于公网,极易被黑客“一秒搬空”隐私。部分恶意技能包伪装成PDF工具或加密货币助手,实则窃取凭证、植入后门。
专家指出,“龙虾”代表AI从“对话”迈向“行动”的关键转型,但安全短板若不补上,热潮恐演变为危机。普通用户若缺乏技术能力,应优先选择如百度DuClaw、腾讯WorkBuddy等封装更安全的托管式服务,避免“养虾”变“引狼入室”。(完)
香港新闻社
有视界·有世界
习近平听取李家超述职报告
李家超邀社区客厅家庭礼宾府开派对 共度温馨圣诞
日媒:丰田决定在上海建厂 生产100%电动汽车
全球南方9国明年正式成为金砖伙伴国
李家超分享礼宾府圣诞装饰 祝愿平安喜乐
香港国安处通缉钟剑华等6人 悬赏100万
邓炳强:将向法庭申请没收许智峰犯罪得益 市民不应与潜逃者有任何金钱瓜葛
