能替你整理文件、写报表、爬数据的“AI打工人”OpenClaw正掀起一股席卷全球的“养龙虾”热潮,然而其背后却存在安全隐忧:有用户信用卡遭刷爆,Meta高管收件箱邮件被删除。国家互联网应急中心和工信部近日发布相关风险提示,“养龙虾”背后的安全风险正成为现实话题。
OpenClaw可能会“失控”
近日,一名网友在社交平台称,其朋友因将 OpenClaw的VNC服务暴露公网,且浏览器保存了信用卡信息,导致信用卡被刷爆。
Meta超级智能实验室 AI对齐与安全总监Summer Yue也于近日遭遇 OpenClaw失控事件,个人邮箱中200多封邮件被删除。
OpenClaw是一款可以部署在个人电脑上的 AI代理。由于OpenClaw的图标是红色龙虾,因此网友便将训练它的过程称为“养龙虾”。
OpenClaw像是装在自己电脑里的“AI打工人”。它不只会聊天,更能替你干活——你说句话,它就能自动整理文件、删邮件、爬数据、写报表,全程不用你动手。如果说传统 AI是给你出主意的顾问,OpenClaw则是直接帮你把事情办妥的私人助理。
不过,随着 OpenClaw的爆火,其背后存在的安全隐患也正受到人们关注。
3月10日,国家互联网应急中心发布关于 OpenClaw安全应用的风险提示。提示指出,为实现“自主执行任务”的能力,OpenClaw被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
风险提示称,前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险,包括“提示词注入”风险、“误操作”风险、功能插件(skills)投毒风险、安全漏洞风险等。
“养龙虾”热潮背后存隐忧
当前,这股“养龙虾”热潮正席卷全球,科技巨头、地方政府纷纷下场“养龙虾”。
目前,国内腾讯、百度、阿里巴巴、字节跳动、美团、京东等互联网大厂和小米、华为、荣耀等手机大厂,以及海外谷歌、英伟达等科技大厂均发布了一键部署、接入 OpenClaw的相关动向。腾讯、百度甚至开启了OpenClaw线下免费安装活动。
不仅如此,深圳市龙岗区、无锡高新区、苏州常熟市、合肥高新区等地政府纷纷发布了“养龙虾”的鼓励政策,推出多条激励计划及现金奖励。
“开源智能体OpenClaw确实解决了部分实际问题。它不仅能通过自然语言直接进行交互,还能安排任务由AI自动完成,这相当于提供了一个非常友好的人机界面,对于AI在C端的应用来说,无疑是一个巨大的进步。”资深电信行业分析师马继华告诉记者。
“不过,这类开源云服务在使用过程中也确实存在一些安全隐患,比如在帮助用户搜集互联网信息的同时,也可能会暴露用户个人信息。”马继华认为,“除此之外,这类开源软件本身门槛并不算特别高,如果被黑色产业盯上,有可能形成新的灰色或黑色产业链。比如通过控制用户的个人电脑,发起黑客攻击或进行远程控制等,给用户带来严重的安全威胁。”
“现阶段,普通用户使用OpenClaw所带来的收益与成本不成正比,真正有价值的是在公司层面共同搭建和使用。”一位科技行业从业人员告诉记者,“但最关键的仍是安全问题,目前其内部运作逻辑尚未厘清,可能引发一系列安全隐患。若全民推动,可能导致范围性的安全问题,尤其对一些工作内容较为敏感的人群而言风险更大。”
事实上,早在今年2月,工信部就曾提示OpenClaw安全隐患。
工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,OpenClaw开源 AI智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。
NVDB建议相关单位和用户在部署和应用OpenClaw时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制,并持续关注官方安全公告和加固建议,防范潜在网络安全风险。
“OpenClaw的出现本身是一种进步,其体现了技术的发展方向。但在用户使用的过程中,确实需要关注安全风险。AI本身就是一个‘黑箱’,加上智能体之后,这个‘黑箱’的影响被进一步放大了。并不是所有人都适合使用这类产品,相关的监管方也应尽快采取措施,规范使用方式,让用户在安全的前提下真正用好这些技术。”马继华认为。(记者 赵熠如)
转自:中国商报
【版权及免责声明】凡本网所属版权作品,转载时须获得授权并注明来源“中国产业经济信息网”,违者本网将保留追究其相关法律责任的权力。凡转载文章及企业宣传资讯,仅代表作者个人观点,不代表本网观点和立场。版权事宜请联系:010-65363056。
延伸阅读
