AI養“龍蝦”有風險，工信部緊急預警

近期，開源AI智能體“龍蝦”（OpenClaw）異?；鸨艿絿鴥犬a業界和廣大用戶的廣泛關注。與此同時，其安全問題也引發了廣泛探討。3月11日，工業和信息化部網絡安全威脅和漏洞信息共享平臺發布了關于防范“龍蝦”開源智能體安全風險的“六要六不要”建議。

“龍蝦”作為一款多場景智能助手，可通過對接企業管理系統實現數據分析、文檔處理、代碼編寫等功能，或個人提供信息管理、事務處理等服務。然而，其部署過程中可能因異常插件引入、權限配置不當等問題引發安全危機。工信部明確指出“龍蝦”在四個典型應用場景存在安全風險。

例如，在智能辦公場景中，引入異常插件或“技能包”可能引發供應鏈攻擊，導致已對接的系統平臺、數據庫等敏感信息泄露或丟失；在開發運維場景中，非授權執行系統命令或設備遭網絡攻擊劫持，可能導致系統賬號和端口信息暴露；在個人助手場景中，權限過高或互聯網接入情況下遭受網絡攻擊入侵，可能導致個人信息被竊；在金融交易場景中，記憶投毒或身份認證繞過可能導致錯誤交易或賬戶被非法接管。

據央視新聞報道，江蘇常州一家企業產品負責人表示，試用OpenClaw整理文件時，它偶爾會“自作主張”刪除其認為不重要的文件，“如果不經過多次指令優化和精細化‘養育’，很難完全達到復雜的業務需求?！?/p>

“我們觀察到，OpenClaw對于普通用戶而言，安裝復雜度是顯性門檻，權限與安全是隱性核心門檻。”江蘇一家企業產品負責人表示，“我們的思路是采用‘最小權限+分級管控+安全審計’的機制，不完全接管電腦，兼顧安全與效率?！?/p>

具體的“六要六不要”建議有：

一要使用官方最新版本。從官方渠道下載最新穩定版本，并開啟自動更新提醒，在升級前備份數據，升級后重啟服務并驗證補丁是否生效。不要使用第三方鏡像版本或歷史版本。

二要嚴格控制互聯網暴露面。定期自查是否存在互聯網暴露情況，一旦發現立即下線整改。不要將“龍蝦”智能體實例暴露到互聯網，確需訪問時可使用SSH等加密通道，并限制訪問源地址，采用強密碼或證書、硬件密鑰等認證方式。

三要堅持最小權限原則。根據業務需要授予完成任務必需的最小權限，對重要操作進行二次確認或人工審批。優先考慮在容器或虛擬機中隔離運行，形成獨立的權限區域。不要在部署時使用管理員權限賬號。

四要謹慎使用技能市場。審慎下載ClawHub“技能包”，并在安裝前審查代碼。不要使用要求“下載ZIP”“執行shell腳本”或“輸入密碼”的技能包。

五要防范社會工程學攻擊和瀏覽器劫持。使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本，啟用日志審計功能，遇到可疑行為立即斷開網關并重置密碼。不要瀏覽來歷不明的網站、點擊陌生鏈接或讀取不可信文檔。

六要建立長效防護機制。定期檢查并修補漏洞，關注OpenClaw官方安全公告及工信部網絡安全威脅和漏洞信息共享平臺的風險預警。結合網絡安全防護工具、主流殺毒軟件進行實時防護，及時處置可能存在的安全風險。不要禁用詳細日志審計功能。

3月10日，國家互聯網應急中心發布的《關于OpenClaw安全應用的風險提示》指出，近期“龍蝦”因支持自然語言操控計算機而受到廣泛關注，但也因其高系統權限需求和默認安全配置薄弱，已被曝出存在嚴重安全隱患，攻擊者利用這些缺陷可輕易獲取系統完全控制權。

針對“龍蝦”的不當部署與使用，已確認提示詞注入、誤操作、插件投毒以及嚴重的安全漏洞四類核心風險。

工信部相關負責人在解讀時指出，隨著網絡語言生活日益豐富，一些詞匯在傳播過程中可能衍生出多種含義?！褒埼r”作為日常食物名稱，在某些網絡社群或語境中被賦予了特定指代，但若使用不當，可能影響正常交流秩序，甚至擾亂市場環境。

此次提出具體準則，并非限制語言發展，而是倡導一種負責任的使用態度，防止詞語被污名化或泛化濫用。

該指導意見得到了多家互聯網平臺和行業組織的積極響應。有社交平臺表示，將結合“六要六不要”原則，進一步優化內容審核機制，對違規使用相關詞匯進行標注或限制傳播。部分電商平臺也計劃加強對商品描述的管理，避免出現不當關聯營銷。相關語言學家認為，此舉有助于引導公眾關注語言的社會影響，提升網絡交流的文明程度。

值得注意的是，指導意見并未對“龍蝦”一詞本身進行定性，而是聚焦于使用行為。其核心精神是倡導文明上網、理性表達，這與其他網絡信息內容生態治理政策一脈相承。在實際操作中，需要平臺、用戶和監管部門協同努力，通過教育引導、技術過濾和行業自律等多種方式落實。

有網友表示支持，認為網絡用語需要一定規范，過度玩梗或惡意引申可能破壞溝通氛圍；也有網友建議，規范應注重靈活性，避免“一刀切”。工信部回應稱，后續將跟蹤評估實施效果，并繼續聽取社會意見，不斷完善網絡語言環境治理體系。

為應對這些風險，專家建議相關單位和個人采取嚴格的網絡配置和憑證管理策略，審核插件來源，禁用自動更新功能，僅安裝經簽名驗證的擴展程序，并持續關注官方通報以及時部署安全補丁與版本更新。

3月11日，“龍蝦”概念股集體回調。A股方面，博睿數據一度跌逾12%，尾盤跌幅收窄至8.75%，該股前兩個交易日分別大漲20%、16.40%；昆侖萬維、順網科技、美格智能等紛紛跟跌。港股方面，被稱為“龍蝦”三兄弟的迅策午后持續下探，截至收盤跌8.19%；Mini Max、智譜收盤均跌逾6%。

（經濟觀察網 李強/文）

免責聲明：本文觀點僅代表作者本人，供參考、交流，不構成任何建議。