360集团创始人周鸿祎近日就AI领域备受关注的OpenClaw智能体发出安全警示,指出这款被称为“龙虾”的开源工具在快速普及过程中,正将大量用户暴露于前所未有的网络安全风险之下。据统计,全球范围内已发现近15万个与OpenClaw相关的数字资产,其中超过四成集中在中国市场。
这款引发行业热议的AI工具之所以迅速出圈,源于其突破传统AI的功能边界——不仅能够回答问题,更具备直接操控计算机系统的能力。从自动打开网页、读取本地文件,到修改代码甚至执行完整业务流程,OpenClaw展现出强大的自动化执行能力。但正是这种“主动介入”的特性,让终端权限管理成为亟待解决的安全命门。
周鸿祎特别强调,在网络安全攻防战中,终端权限始终是攻击者觊觎的核心目标。过去黑客需要突破重重防线才能获取的系统控制权,如今却因用户主动授权变得触手可及。为追求使用便利性,大量用户向AI开放了浏览器权限、文件系统访问权,甚至交出邮箱API密钥和服务器管理权限,这种“主动裸奔”现象令安全专家忧心忡忡。
360安全团队的研究显示,当AI智能体获得执行权限后,其可能成为黑客攻击的完美跳板。未来的网络攻击形态或将发生根本性转变——攻击主体可能从单个黑客演变为由AI驱动的自动化攻击集群,这些“黑客智能体”能够通过自我学习不断优化攻击路径,突破传统安全防护体系。
针对这种新型威胁,周鸿祎提出“以AI制AI”的防御理念,主张将安全能力深度嵌入系统底层架构。他指出,面对自动化攻击,防守体系必须实现同等程度的自动化升级,通过构建可审计、可管控的智能体行为框架,确保AI技术在安全可控的范围内发展。这种防御思路要求从系统设计阶段就融入安全基因,而非事后修补漏洞。
这位安全专家特别提醒,在AI技术普及浪潮中,社会各界不能仅关注计算资源的成本优化,更要重视安全防护体系的建设。随着AI能力的指数级提升,安全防护的优先级必须同步提高,就像在饲养强大生物时,首先要确保围栏的坚固程度。
