近期，開源AI智能體“龍蝦”異?；鸨粌H受到國內產業(yè)界和廣大用戶的廣泛關注，大家更是積極開展實踐應用。與此同時，互聯(lián)網上針對“龍蝦”智能體安全的探討也非常多，之前工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺也發(fā)布過相關的安全風險提示，大家也非常關注。“養(yǎng)龍蝦”是否安全？個人用戶“養(yǎng)龍蝦”又該注意什么？記者采訪了中國信息通信研究院副院長魏亮。

記者：廣大用戶非常關注工信部之前發(fā)布的“龍蝦”安全風險提示，那么，在“龍蝦”更新到最新版本后，是否就沒有安全風險了？

魏亮：“龍蝦”是開源AI智能體OpenClaw的別稱，因為它的圖標是紅色的龍蝦，所以得名。它通過整合調用通信軟件和大語言模型，在用戶本地電腦自主執(zhí)行文件管理、郵件收發(fā)、數(shù)據處理等復雜任務。“龍蝦”出現(xiàn)以后，受到我國產業(yè)界和廣大用戶的廣泛關注，大家積極開展實踐應用，推動了我國AI智能體生態(tài)的繁榮，但也要注意到，“龍蝦”很強的執(zhí)行能力也給用戶帶來了嚴峻的安全挑戰(zhàn)。近期，工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺發(fā)布“關于防范OpenClaw開源AI智能體安全風險的預警提示”，針對存在的安全風險給出了一些防范建議。

目前，“龍蝦”智能體更新迭代非常快，通過更新到官方最新版本，確實能修復已知的安全漏洞，但并不意味著完全消除安全風險。作為本地運行的AI代理，“龍蝦”具有自主決策、調用系統(tǒng)資源等特點，加之信任邊界模糊、技能包市場目前很多還缺乏嚴格審核，存在不少風險隱患。比如：在調用大語言模型時可能誤解用戶指令內容，導致執(zhí)行刪除等有害操作。使用被植入惡意代碼的技能包，可能導致數(shù)據泄露或系統(tǒng)受控。因為將實例暴露于互聯(lián)網、使用管理員權限、明文存儲密鑰等配置問題，即使升級到最新版本，如果不采取針對性的防范措施，依然存在被攻擊風險。網絡安全是動態(tài)的，黑客攻擊手法也在不斷迭代，不能把“打補丁”和“升版本”當成“一勞永逸”的安全保障。

我們呼吁，黨政機關、企事業(yè)單位和個人用戶要審慎使用“龍蝦”等智能體。在發(fā)現(xiàn)“龍蝦”等智能體的安全漏洞，或者針對“龍蝦”等智能體的安全威脅和攻擊事件時，可以第一時間向工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺報送，按照《網絡產品安全漏洞管理規(guī)定》要求，平臺將及時組織處置，切實維護網絡安全，保障廣大用戶的權益。

記者：在使用“龍蝦”智能體的過程中需要注意哪些方面？如何才能確保安全？

魏亮：這個問題非常關鍵。任何網絡產品的安全使用，除了及時進行升級更新外，還必須堅持“最小權限、主動防御、持續(xù)審計”的原則。結合前期發(fā)布的風險提示，建議從以下幾方面來安全使用“龍蝦”智能體。

第一，使用官方最新版本。在部署時，要優(yōu)先從官方渠道下載最新穩(wěn)定版，并開啟自動更新提醒。在升級前備份數(shù)據，升級后重啟服務并驗證補丁是否生效。切勿使用第三方鏡像或舊版。

第二，嚴格控制互聯(lián)網暴露面。一定不要將“龍蝦”智能體實例暴露到公網，確需互聯(lián)網訪問的可以通過SSH或VPN，并且限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式。同時，定期自查是否存在互聯(lián)網暴露情況，一旦發(fā)現(xiàn)立即下線整改。

第三，堅持最小權限原則。在部署時，嚴禁使用管理員權限的賬號，只授予完成任務必需的最小權限，對刪除文件、發(fā)送數(shù)據、修改系統(tǒng)配置等重要操作進行二次確認或人工審批，建議在容器或虛擬機中隔離運行，以形成獨立的權限區(qū)域。

第四，謹慎使用技能市場。ClawHub是專為“龍蝦”智能體用戶提供技能包的社區(qū)平臺，其中的技能包存在惡意投毒風險，建議審慎下載，并在安裝前審查技能包代碼，拒絕任何要求“下載ZIP”、“執(zhí)行shell腳本”或“輸入密碼”的技能包。

第五，防范社會工程學攻擊和瀏覽器劫持。不要隨意瀏覽來歷不明的網站，避免點擊陌生的網頁鏈接。建議使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本，啟用OpenClaw速率限制和日志審計功能，遇到可疑行為立即斷開網關并重置密碼。

第六，建立長效防護機制。啟用詳細日志審計功能，定期檢查并修補漏洞，黨政機關、企事業(yè)單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件進行實時防護。要定期關注OpenClaw官方安全公告、工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺等漏洞庫的風險預警，及時處置可能存在的安全風險。

最后再次強調，廣大用戶在使用“龍蝦”等AI智能體的過程中，一定要把安全底線把握在自己手中，詳細了解并落實安全配置規(guī)范要求，養(yǎng)成安全使用習慣。我們也會持續(xù)做好安全監(jiān)測，如發(fā)現(xiàn)相關安全風險將及時預警，為大家安全使用提供必要的技術支持。（王政）