“养龙虾”爆火！香港数字办：潜在风险不容忽视

近日，开源人工智能体OpenClaw大热，在中国内地掀起一股“养龙虾”热潮，但其安全隐患已引起各方关注。香港有专家指出，OpenClaw倘获用家授权即可读取信息及电邮等资料，有资讯安全风险。香港数字政策办公室及网络安全事故协调中心也分别发出警示，提醒用户在部署及应用OpenClaw时，须采取充足安全措施。

由奥地利程序员彼得·斯坦伯格开发的开源AI（人工智能）智能体OpenClaw在中国内地引发热议。因其红色龙虾图标被称“龙虾”，可自主执行邮件、日程、金融等任务，引发全民“养龙虾”热潮。

然而，10日晚，中国国家互联网应急中心发布紧急风险提示，直指OpenClaw因默认安全配置脆弱，已引发多起严重安全事故。从API密钥被盗导致单日账单超万元，到用户连续喊停却仍被疯狂删除数百封工作邮件。中国工业和信息化部网络安全威胁和漏洞信息共享平台11日晚亦针对OpenClaw发布专项安全预警，首次提出“六要六不要”使用建议，以应对该技术在大规模普及中暴露出的严重安全隐患。

香港中通社资料图

“养龙虾”热潮也蔓延至香港。

香港无线科技商会主席李敬华在一个节目中表示，OpenClaw可装在电脑或云端，它与其他AI服务的一个分别是具主动性，可透过即时通讯软件向它提出指示，如看新闻、追踪股票升幅等。

香港大学电机与计算机工程系首席讲师霍伟栋接受香港《明报》访问时亦分析说，OpenClaw倘获用家授权即可读取信息及电邮等资料，而现时不少AI模型都有独立记忆体，甚至会将资料和信息上传云端，具资讯安全风险。他建议使用时勿输入个人资料。

OpenClaw火爆全球，亦推动“一人公司”理念创业热潮。香港中文大学工程学院副院长黄锦辉接受香港中通社访问时提醒，虽然零成本创业、“一人一公司”（OPC）概念非常吸引，但创业之路往往九死一生，有意以“养龙虾”创业人士必须三思。无论是在互联网、社交网络或Al智能体领域，做生意不是单靠技术和平台。有效营商要有好的产品及商业模式，否则无论“龙虾”多先进高效，也只是空壳一个。政府及学校也要做好思想教育，科技只是辅助工具，做生意的主体始终是人。

负责香港人工智能政策的香港数字办近日回覆《证券时报》查询时指出，该办公室一直持续监测人工智能（AI）最新发展趋势，也关注到有关OpenClaw存在潜在风险，包括权限过高、数据泄露及系统安全等方面。建议相关单位和个人使用者在部署及应用OpenClaw时，采取充足的安全措施，包括强化网络控制，对运行环境实施严格隔离，以降低权限过高的风险；加强凭证管理，避免将密钥以明文形式储存在环境变量中；严格管理插件来源，确保插件的可信性与安全性；持续关注官方发布的“补丁”和安全更新等，以降低相关风险。

据悉，特区政府高度重视人工智能应用的治理和风险防范工作，制定《人工智能道德框架》及《香港生成式人工智能技术及应用指引》等文件。同时已制定一套全面的《政府资讯科技安全政策及指引》，供各部门遵守和使用。各部门在安装各类软件前，必须开展风险评估。

香港网络安全事故协调中心12日亦提醒，AI代理平台如具备本机操作、第三方功能插件安装及外部服务整合能力，其风险面已超出一般聊天式AI工具。机构在引入相关工具时，应同步评估版本风险、供应链风险及权限管理安排，并避免在未经核实下执行代理提示的高风险操作。

中心指出，OpenClaw的一大特色，在于它并非单纯对话式AI工具，而是一个能部署于本地端或伺服器上运作的AI代理平台。随着OpenClaw普及程度不断提升，与之相关的安全风险也日渐浮出水面。

中心提出几项建议，包括核实下载来源与安装指引、尽快更新OpenClaw版本、审慎安装第三方“技能”脚本、警惕代理要求执行高风险操作、把OpenClaw视为高权限自动化平台管理等。（完）