近期,一款名为OpenClaw的开源AI智能体工具在网络上迅速走红,因其图标为红色龙虾,被网友亲切称为“龙虾”。这款工具通过整合通信软件与大语言模型,能够在用户设备上自主完成文件管理、邮件收发、数据处理等复杂任务,展现出强大的自动化能力。
然而,工业和信息化部网络安全威胁和漏洞信息共享平台于2月5日发布风险预警,指出该工具虽功能强大,但存在显著安全隐患。平台提醒用户需谨慎使用,并提供了具体防范建议。
中国信息通信研究院副院长魏亮分析称,“龙虾”智能体目前迭代速度极快,官方最新版本虽已修复部分已知漏洞,但安全风险并未完全消除。其自主决策和调用系统资源的高权限特性,结合模糊的系统信任边界,以及技能包市场缺乏严格审核的现状,导致内部隐患重重。
魏亮进一步指出,该工具在调用大语言模型时,可能因误解用户指令而执行删除文件等不可逆操作。若用户使用被植入恶意代码的第三方技能包,更可能面临核心数据泄露甚至系统被黑客控制的严重后果。即使升级到最新版本,若未采取针对性防范措施,仍难以抵御外部攻击。
若用户发现该类智能体的安全漏洞或遭遇攻击事件,可向工信部网络安全威胁和漏洞信息共享平台报送。平台将依法依规组织研判,并及时采取安全处置措施,以保障用户权益和网络环境安全。
