“龍蝦”再曝安全漏洞！如何做好安全防護？專家支招→

近期，OpenClaw官網用于插件下載的論壇里被檢測出336個惡意插件，占比達10.8%。專家建議，個人或企業用戶不要在涉密設備上運行OpenClaw，還要做好安全防護等嚴格管控措施。

“龍蝦”不設防

有問必答泄露隱私

目前最火的開源AI智能體——OpenClaw，因其圖標是紅色的龍蝦，使用OpenClaw也被稱為“養龍蝦”。自發布以來，OpenClaw憑借其強大的自動化任務處理能力與開放式插件生態，在全球范圍內引發部署熱潮。與此同時，“養龍蝦”暗藏的隱私泄露風險也引發廣泛關注。

網絡專家：指令注入

操控“龍蝦”泄露信息

為什么一款開放AI智能體能夠如此不設防？對方是如何一步步攻破防線，拿到他人隱私的？行業專家與網絡安全工程師通過實測，還原了AI被惡意誘導泄露核心配置等敏感信息的全過程。

中國互聯網協會數據安全與治理工作委員會專家 常力元：AI很容易受誤導，黑客不需要編寫復雜的病毒代碼，就可以通過發送一些誘導性的言語，或者在AI訪問的頁面里嵌入文字，從而催眠、控制“龍蝦”，讓“龍蝦”主動泄露自己主人的信息，或者攻擊自己的電腦，這個也被稱為指令注入。

惡意插件風險凸顯

藏信息竊取隱患

除了指令注入，惡意插件也是一大風險。近期，OpenClaw官網用于插件下載的論壇里被檢測出336個惡意插件，占比達10.8%。如果“龍蝦”不小心安裝了這些插件，那么網友安裝的不是幫手，而是偷取你信息的小偷。

中國計算機學會計算機安全專委會委員 王媛媛：插件實際上是“龍蝦”的一個獨立功能模塊，很像手機上的小程序，當執行一些比較復雜的指令操作，可以通過安裝插件讓“龍蝦”正常運行，比如想讓“龍蝦”寫一個PPT，就需要給“龍蝦”裝一個可以生成PPT的插件。惡意插件，實際上是在一些看起來很正常的代碼里植入了惡意代碼，最終目的是竊取數據，或者控制你的電腦。

專家建議，安裝“龍蝦”插件時，還是要選擇下載量大，有安全證書的插件。

專家支招正確“養龍蝦”

如何做好安全防護

隨著OpenClaw這類AI智能體越來越普及，如何安全、規范地使用，成為個人和企業都要面對的問題。專家建議，個人或企業用戶不要在涉密設備上運行OpenClaw，還要做好安全防護等嚴格管控措施。

中國計算機學會計算機安全專委會委員 王媛媛：第一，個人使用“龍蝦”，要盡量保證安裝的“龍蝦”版本及時更新，因為有很多漏洞存在的時候，它會有很多安全隱患，所以要盡可能地保持使用最新的安裝版本。

第二，對企業來說，在使用“龍蝦”的時候，要使用一些安全防護手段來進行控制，比如說阻止一些郵件的發送，阻止一些外網的訪問等。

專家表示，隨著AI智能體使用門檻不斷降低，普通網民在使用OpenClaw時，應更加關注它的安全性。專家進一步強調，不能忽視權限管控的重要性，不能賦予AI工具過度的系統權限。

來源：河北新聞廣播

編輯：路靜雯

審核：李強

免責聲明：版權歸原作者所有，如有侵犯聯系我們刪除，謝謝！