能替你整理文件、寫報表、爬數據的“AI打工人”OpenClaw正掀起一股席卷全球的“養龍蝦”熱潮,然而其背后卻存在安全隱憂:有用戶信用卡遭刷爆,Meta高管收件箱郵件被刪除。國家互聯網應急中心和工信部近日發布相關風險提示,“養龍蝦”背后的安全風險正成為現實話題。
OpenClaw可能會“失控”
近日,一名網友在社交平臺稱,其朋友因將 OpenClaw的VNC服務暴露公網,且瀏覽器保存了信用卡信息,導致信用卡被刷爆。
Meta超級智能實驗室 AI對齊與安全總監Summer Yue也于近日遭遇 OpenClaw失控事件,個人郵箱中200多封郵件被刪除。
OpenClaw是一款可以部署在個人電腦上的 AI代理。由于OpenClaw的圖標是紅色龍蝦,因此網友便將訓練它的過程稱為“養龍蝦”。
OpenClaw像是裝在自己電腦里的“AI打工人”。它不只會聊天,更能替你干活——你說句話,它就能自動整理文件、刪郵件、爬數據、寫報表,全程不用你動手。如果說傳統 AI是給你出主意的顧問,OpenClaw則是直接幫你把事情辦妥的私人助理。
不過,隨著 OpenClaw的爆火,其背后存在的安全隱患也正受到人們關注。
3月10日,國家互聯網應急中心發布關于 OpenClaw安全應用的風險提示。提示指出,為實現“自主執行任務”的能力,OpenClaw被授予了較高的系統權限,包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(API)以及安裝擴展功能等。然而,由于其默認的安全配置極為脆弱,攻擊者一旦發現突破口,便能輕易獲取系統的完全控制權。
風險提示稱,前期,由于OpenClaw智能體的不當安裝和使用,已經出現了一些嚴重的安全風險,包括“提示詞注入”風險、“誤操作”風險、功能插件(skills)投毒風險、安全漏洞風險等。
“養龍蝦”熱潮背后存隱憂
當前,這股“養龍蝦”熱潮正席卷全球,科技巨頭、地方政府紛紛下場“養龍蝦”。
目前,國內騰訊、百度、阿里巴巴、字節跳動、美團、京東等互聯網大廠和小米、華為、榮耀等手機大廠,以及海外谷歌、英偉達等科技大廠均發布了一鍵部署、接入 OpenClaw的相關動向。騰訊、百度甚至開啟了OpenClaw線下免費安裝活動。
不僅如此,深圳市龍崗區、無錫高新區、蘇州常熟市、合肥高新區等地政府紛紛發布了“養龍蝦”的鼓勵政策,推出多條激勵計劃及現金獎勵。
“開源智能體OpenClaw確實解決了部分實際問題。它不僅能通過自然語言直接進行交互,還能安排任務由AI自動完成,這相當于提供了一個非常友好的人機界面,對于AI在C端的應用來說,無疑是一個巨大的進步。”資深電信行業分析師馬繼華告訴記者。
“不過,這類開源云服務在使用過程中也確實存在一些安全隱患,比如在幫助用戶搜集互聯網信息的同時,也可能會暴露用戶個人信息。”馬繼華認為,“除此之外,這類開源軟件本身門檻并不算特別高,如果被黑色產業盯上,有可能形成新的灰色或黑色產業鏈。比如通過控制用戶的個人電腦,發起黑客攻擊或進行遠程控制等,給用戶帶來嚴重的安全威脅。”
“現階段,普通用戶使用OpenClaw所帶來的收益與成本不成正比,真正有價值的是在公司層面共同搭建和使用。”一位科技行業從業人員告訴記者,“但最關鍵的仍是安全問題,目前其內部運作邏輯尚未厘清,可能引發一系列安全隱患。若全民推動,可能導致范圍性的安全問題,尤其對一些工作內容較為敏感的人群而言風險更大。”
事實上,早在今年2月,工信部就曾提示OpenClaw安全隱患。
工業和信息化部網絡安全威脅和漏洞信息共享平臺(NVDB)監測發現,OpenClaw開源 AI智能體部分實例在默認或不當配置情況下存在較高安全風險,極易引發網絡攻擊、信息泄露等安全問題。
NVDB建議相關單位和用戶在部署和應用OpenClaw時,充分核查公網暴露情況、權限配置及憑證管理情況,關閉不必要的公網訪問,完善身份認證、訪問控制、數據加密和安全審計等安全機制,并持續關注官方安全公告和加固建議,防范潛在網絡安全風險。
“OpenClaw的出現本身是一種進步,其體現了技術的發展方向。但在用戶使用的過程中,確實需要關注安全風險。AI本身就是一個‘黑箱’,加上智能體之后,這個‘黑箱’的影響被進一步放大了。并不是所有人都適合使用這類產品,相關的監管方也應盡快采取措施,規范使用方式,讓用戶在安全的前提下真正用好這些技術。”馬繼華認為。(記者 趙熠如)
轉自:中國商報
【版權及免責聲明】凡本網所屬版權作品,轉載時須獲得授權并注明來源“中國產業經濟信息網”,違者本網將保留追究其相關法律責任的權力。凡轉載文章及企業宣傳資訊,僅代表作者個人觀點,不代表本網觀點和立場。版權事宜請聯系:010-65363056。
延伸閱讀
