能替你整理文件����、寫報表、爬數(shù)據(jù)的“AI打工人”O(jiān)penClaw正掀起一股席卷全球的“養(yǎng)龍蝦”熱潮��,然而其背后卻存在安全隱憂:有用戶信用卡遭刷爆�����,Meta高管收件箱郵件被刪除�。國家互聯(lián)網(wǎng)應(yīng)急中心和工信部近日發(fā)布相關(guān)風(fēng)險提示��,“養(yǎng)龍蝦”背后的安全風(fēng)險正成為現(xiàn)實話題����。
OpenClaw可能會“失控”
近日����,一名網(wǎng)友在社交平臺稱,其朋友因?qū)?OpenClaw的VNC服務(wù)暴露公網(wǎng)���,且瀏覽器保存了信用卡信息���,導(dǎo)致信用卡被刷爆。
Meta超級智能實驗室 AI對齊與安全總監(jiān)Summer Yue也于近日遭遇 OpenClaw失控事件����,個人郵箱中200多封郵件被刪除。
OpenClaw是一款可以部署在個人電腦上的 AI代理�。由于OpenClaw的圖標(biāo)是紅色龍蝦,因此網(wǎng)友便將訓(xùn)練它的過程稱為“養(yǎng)龍蝦”���。
OpenClaw像是裝在自己電腦里的“AI打工人”�。它不只會聊天,更能替你干活——你說句話��,它就能自動整理文件�����、刪郵件��、爬數(shù)據(jù)��、寫報表���,全程不用你動手。如果說傳統(tǒng) AI是給你出主意的顧問����,OpenClaw則是直接幫你把事情辦妥的私人助理。
不過�,隨著 OpenClaw的爆火,其背后存在的安全隱患也正受到人們關(guān)注���。
3月10日���,國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布關(guān)于 OpenClaw安全應(yīng)用的風(fēng)險提示。提示指出��,為實現(xiàn)“自主執(zhí)行任務(wù)”的能力,OpenClaw被授予了較高的系統(tǒng)權(quán)限��,包括訪問本地文件系統(tǒng)���、讀取環(huán)境變量����、調(diào)用外部服務(wù)應(yīng)用程序編程接口(API)以及安裝擴展功能等�。然而,由于其默認(rèn)的安全配置極為脆弱�����,攻擊者一旦發(fā)現(xiàn)突破口���,便能輕易獲取系統(tǒng)的完全控制權(quán)���。
風(fēng)險提示稱,前期��,由于OpenClaw智能體的不當(dāng)安裝和使用�����,已經(jīng)出現(xiàn)了一些嚴(yán)重的安全風(fēng)險,包括“提示詞注入”風(fēng)險�、“誤操作”風(fēng)險、功能插件(skills)投毒風(fēng)險�、安全漏洞風(fēng)險等。
“養(yǎng)龍蝦”熱潮背后存隱憂
當(dāng)前���,這股“養(yǎng)龍蝦”熱潮正席卷全球�����,科技巨頭、地方政府紛紛下場“養(yǎng)龍蝦”����。
目前,國內(nèi)騰訊���、百度��、阿里巴巴��、字節(jié)跳動��、美團���、京東等互聯(lián)網(wǎng)大廠和小米���、華為、榮耀等手機大廠���,以及海外谷歌�����、英偉達等科技大廠均發(fā)布了一鍵部署�����、接入 OpenClaw的相關(guān)動向���。騰訊、百度甚至開啟了OpenClaw線下免費安裝活動���。
不僅如此���,深圳市龍崗區(qū)����、無錫高新區(qū)�、蘇州常熟市、合肥高新區(qū)等地政府紛紛發(fā)布了“養(yǎng)龍蝦”的鼓勵政策���,推出多條激勵計劃及現(xiàn)金獎勵�。
“開源智能體OpenClaw確實解決了部分實際問題��。它不僅能通過自然語言直接進行交互���,還能安排任務(wù)由AI自動完成�,這相當(dāng)于提供了一個非常友好的人機界面���,對于AI在C端的應(yīng)用來說,無疑是一個巨大的進步�。”資深電信行業(yè)分析師馬繼華告訴記者��。
“不過��,這類開源云服務(wù)在使用過程中也確實存在一些安全隱患�����,比如在幫助用戶搜集互聯(lián)網(wǎng)信息的同時,也可能會暴露用戶個人信息�����?�!瘪R繼華認(rèn)為���,“除此之外���,這類開源軟件本身門檻并不算特別高,如果被黑色產(chǎn)業(yè)盯上��,有可能形成新的灰色或黑色產(chǎn)業(yè)鏈�。比如通過控制用戶的個人電腦,發(fā)起黑客攻擊或進行遠(yuǎn)程控制等��,給用戶帶來嚴(yán)重的安全威脅���?���!?/p>
“現(xiàn)階段,普通用戶使用OpenClaw所帶來的收益與成本不成正比�����,真正有價值的是在公司層面共同搭建和使用�。”一位科技行業(yè)從業(yè)人員告訴記者����,“但最關(guān)鍵的仍是安全問題,目前其內(nèi)部運作邏輯尚未厘清���,可能引發(fā)一系列安全隱患��。若全民推動�,可能導(dǎo)致范圍性的安全問題����,尤其對一些工作內(nèi)容較為敏感的人群而言風(fēng)險更大?!?/p>
事實上����,早在今年2月����,工信部就曾提示OpenClaw安全隱患����。
工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(NVDB)監(jiān)測發(fā)現(xiàn),OpenClaw開源 AI智能體部分實例在默認(rèn)或不當(dāng)配置情況下存在較高安全風(fēng)險�����,極易引發(fā)網(wǎng)絡(luò)攻擊��、信息泄露等安全問題�。
NVDB建議相關(guān)單位和用戶在部署和應(yīng)用OpenClaw時,充分核查公網(wǎng)暴露情況���、權(quán)限配置及憑證管理情況�����,關(guān)閉不必要的公網(wǎng)訪問�,完善身份認(rèn)證�����、訪問控制、數(shù)據(jù)加密和安全審計等安全機制����,并持續(xù)關(guān)注官方安全公告和加固建議,防范潛在網(wǎng)絡(luò)安全風(fēng)險�。
“OpenClaw的出現(xiàn)本身是一種進步,其體現(xiàn)了技術(shù)的發(fā)展方向���。但在用戶使用的過程中�,確實需要關(guān)注安全風(fēng)險�����。AI本身就是一個‘黑箱’�,加上智能體之后,這個‘黑箱’的影響被進一步放大了�。并不是所有人都適合使用這類產(chǎn)品,相關(guān)的監(jiān)管方也應(yīng)盡快采取措施��,規(guī)范使用方式�����,讓用戶在安全的前提下真正用好這些技術(shù)?��!瘪R繼華認(rèn)為。(記者 趙熠如)
轉(zhuǎn)自:中國商報
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品�,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力��。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊��,僅代表作者個人觀點���,不代表本網(wǎng)觀點和立場���。版權(quán)事宜請聯(lián)系:010-65363056。
延伸閱讀
