能替你整理文件��、寫報(bào)表�����、爬數(shù)據(jù)的“AI打工人”O(jiān)penClaw正掀起一股席卷全球的“養(yǎng)龍蝦”熱潮����,然而其背后卻存在安全隱憂:有用戶信用卡遭刷爆��,Meta高管收件箱郵件被刪除���。國(guó)家互聯(lián)網(wǎng)應(yīng)急中心和工信部近日發(fā)布相關(guān)風(fēng)險(xiǎn)提示��,“養(yǎng)龍蝦”背后的安全風(fēng)險(xiǎn)正成為現(xiàn)實(shí)話題����。
OpenClaw可能會(huì)“失控”
近日,一名網(wǎng)友在社交平臺(tái)稱��,其朋友因?qū)?OpenClaw的VNC服務(wù)暴露公網(wǎng)��,且瀏覽器保存了信用卡信息���,導(dǎo)致信用卡被刷爆����。
Meta超級(jí)智能實(shí)驗(yàn)室 AI對(duì)齊與安全總監(jiān)Summer Yue也于近日遭遇 OpenClaw失控事件��,個(gè)人郵箱中200多封郵件被刪除��。
OpenClaw是一款可以部署在個(gè)人電腦上的 AI代理��。由于OpenClaw的圖標(biāo)是紅色龍蝦��,因此網(wǎng)友便將訓(xùn)練它的過(guò)程稱為“養(yǎng)龍蝦”�。
OpenClaw像是裝在自己電腦里的“AI打工人”。它不只會(huì)聊天����,更能替你干活——你說(shuō)句話�����,它就能自動(dòng)整理文件、刪郵件�����、爬數(shù)據(jù)���、寫報(bào)表�����,全程不用你動(dòng)手��。如果說(shuō)傳統(tǒng) AI是給你出主意的顧問(wèn)���,OpenClaw則是直接幫你把事情辦妥的私人助理。
不過(guò)���,隨著 OpenClaw的爆火����,其背后存在的安全隱患也正受到人們關(guān)注。
3月10日�,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布關(guān)于 OpenClaw安全應(yīng)用的風(fēng)險(xiǎn)提示。提示指出��,為實(shí)現(xiàn)“自主執(zhí)行任務(wù)”的能力����,OpenClaw被授予了較高的系統(tǒng)權(quán)限,包括訪問(wèn)本地文件系統(tǒng)���、讀取環(huán)境變量����、調(diào)用外部服務(wù)應(yīng)用程序編程接口(API)以及安裝擴(kuò)展功能等�����。然而��,由于其默認(rèn)的安全配置極為脆弱�,攻擊者一旦發(fā)現(xiàn)突破口,便能輕易獲取系統(tǒng)的完全控制權(quán)����。
風(fēng)險(xiǎn)提示稱����,前期���,由于OpenClaw智能體的不當(dāng)安裝和使用��,已經(jīng)出現(xiàn)了一些嚴(yán)重的安全風(fēng)險(xiǎn),包括“提示詞注入”風(fēng)險(xiǎn)�����、“誤操作”風(fēng)險(xiǎn)�、功能插件(skills)投毒風(fēng)險(xiǎn)、安全漏洞風(fēng)險(xiǎn)等��。
“養(yǎng)龍蝦”熱潮背后存隱憂
當(dāng)前��,這股“養(yǎng)龍蝦”熱潮正席卷全球�����,科技巨頭��、地方政府紛紛下場(chǎng)“養(yǎng)龍蝦”����。
目前����,國(guó)內(nèi)騰訊����、百度、阿里巴巴�、字節(jié)跳動(dòng)、美團(tuán)��、京東等互聯(lián)網(wǎng)大廠和小米����、華為、榮耀等手機(jī)大廠��,以及海外谷歌�、英偉達(dá)等科技大廠均發(fā)布了一鍵部署、接入 OpenClaw的相關(guān)動(dòng)向�����。騰訊��、百度甚至開(kāi)啟了OpenClaw線下免費(fèi)安裝活動(dòng)。
不僅如此����,深圳市龍崗區(qū)、無(wú)錫高新區(qū)�����、蘇州常熟市�、合肥高新區(qū)等地政府紛紛發(fā)布了“養(yǎng)龍蝦”的鼓勵(lì)政策,推出多條激勵(lì)計(jì)劃及現(xiàn)金獎(jiǎng)勵(lì)���。
“開(kāi)源智能體OpenClaw確實(shí)解決了部分實(shí)際問(wèn)題。它不僅能通過(guò)自然語(yǔ)言直接進(jìn)行交互����,還能安排任務(wù)由AI自動(dòng)完成,這相當(dāng)于提供了一個(gè)非常友好的人機(jī)界面�����,對(duì)于AI在C端的應(yīng)用來(lái)說(shuō)����,無(wú)疑是一個(gè)巨大的進(jìn)步���。”資深電信行業(yè)分析師馬繼華告訴記者��。
“不過(guò)�����,這類開(kāi)源云服務(wù)在使用過(guò)程中也確實(shí)存在一些安全隱患���,比如在幫助用戶搜集互聯(lián)網(wǎng)信息的同時(shí)���,也可能會(huì)暴露用戶個(gè)人信息?��!瘪R繼華認(rèn)為����,“除此之外���,這類開(kāi)源軟件本身門檻并不算特別高�,如果被黑色產(chǎn)業(yè)盯上,有可能形成新的灰色或黑色產(chǎn)業(yè)鏈����。比如通過(guò)控制用戶的個(gè)人電腦,發(fā)起黑客攻擊或進(jìn)行遠(yuǎn)程控制等����,給用戶帶來(lái)嚴(yán)重的安全威脅?�!?/p>
“現(xiàn)階段�����,普通用戶使用OpenClaw所帶來(lái)的收益與成本不成正比�,真正有價(jià)值的是在公司層面共同搭建和使用?�!币晃豢萍夹袠I(yè)從業(yè)人員告訴記者�,“但最關(guān)鍵的仍是安全問(wèn)題�,目前其內(nèi)部運(yùn)作邏輯尚未厘清,可能引發(fā)一系列安全隱患��。若全民推動(dòng)��,可能導(dǎo)致范圍性的安全問(wèn)題�����,尤其對(duì)一些工作內(nèi)容較為敏感的人群而言風(fēng)險(xiǎn)更大?��!?/p>
事實(shí)上�����,早在今年2月����,工信部就曾提示OpenClaw安全隱患��。
工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)(NVDB)監(jiān)測(cè)發(fā)現(xiàn)��,OpenClaw開(kāi)源 AI智能體部分實(shí)例在默認(rèn)或不當(dāng)配置情況下存在較高安全風(fēng)險(xiǎn)����,極易引發(fā)網(wǎng)絡(luò)攻擊、信息泄露等安全問(wèn)題����。
NVDB建議相關(guān)單位和用戶在部署和應(yīng)用OpenClaw時(shí),充分核查公網(wǎng)暴露情況、權(quán)限配置及憑證管理情況�,關(guān)閉不必要的公網(wǎng)訪問(wèn),完善身份認(rèn)證����、訪問(wèn)控制、數(shù)據(jù)加密和安全審計(jì)等安全機(jī)制��,并持續(xù)關(guān)注官方安全公告和加固建議�,防范潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
“OpenClaw的出現(xiàn)本身是一種進(jìn)步�,其體現(xiàn)了技術(shù)的發(fā)展方向。但在用戶使用的過(guò)程中����,確實(shí)需要關(guān)注安全風(fēng)險(xiǎn)。AI本身就是一個(gè)‘黑箱’��,加上智能體之后���,這個(gè)‘黑箱’的影響被進(jìn)一步放大了。并不是所有人都適合使用這類產(chǎn)品��,相關(guān)的監(jiān)管方也應(yīng)盡快采取措施����,規(guī)范使用方式���,讓用戶在安全的前提下真正用好這些技術(shù)?�!瘪R繼華認(rèn)為�。(記者 趙熠如)
轉(zhuǎn)自:中國(guó)商報(bào)
【版權(quán)及免責(zé)聲明】凡本網(wǎng)所屬版權(quán)作品,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”�,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章及企業(yè)宣傳資訊�,僅代表作者個(gè)人觀點(diǎn),不代表本網(wǎng)觀點(diǎn)和立場(chǎng)��。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056����。
延伸閱讀
