人工智慧(AI)助手OpenClaw(俗称「龙虾」)近期在大陆掀起热潮,从9岁小学生到退休工程师皆争相体验「云上养虾」操作;不过,大陆官方近期指出,监测发现OpenClaw在默认或不当配置下存在高安全风险,可能因指令诱导、配置缺陷或被恶意接管而执行越权操作,提醒用户在追逐科技热潮的同时,务必注意安全防护。
新华社指出,近期,大陆工信部网络安全威胁和漏洞信息共享平台监测发现,OpenClaw开源AI代理部分实例,在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、讯息泄露等安全问题。
报导提到,OpenClaw是款开源AI代理,其透过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手,可在本地私有化部署。
由于OpenClaw在部署时「信任边界模糊」,且具备自身持续运行、自主决策、调用系统和外部资源等特性,在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作,造成讯息泄露、系统受控等一系列安全风险。
报导还指,建议相关单位和用户在部署和应用OpenClaw时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身分认证、访问控制、数据加密和安全审计等安全机制,并持续关注官方安全公告和加固建议,防范潜在网络安全风险。
另据21世纪经济报导,SecurityScorecard威胁情报与研究副总裁Jeremy Turner指出,「在跳入海洋之前学会游泳」,提醒用户在体验前沿AI技术时,需重视安全防护。
此前,近千名开发者及AI爱好者6日齐聚深圳腾讯大厦,完成OpenClaw云端安装,体验所谓「云上养虾」的操作。腾讯透露,目前OpenClaw云端部署用户规模已突破10万并持续增加。OpenClaw安装本身免费,但运行需租用云端伺服器,2核2G轻量伺服器活动价为每年人民币99元(下同),2核4G版本则为188元起。
据了解,包括字节、百度等大陆科技大厂都纷纷推出类似的OpenClaw云端伺服器部署方案。而大陆大模型企业,也正希望能借助OpenClaw的热度来推广自己的产品。
其中,阶跃星辰方面表示,在4日全面开源后,其新一代基座模型 Step 3.5 Flash 的全球热度进一步攀升,模型调用量在OpenClaw上已攀升至全球第一。而MiniMax M2.5、Trinity Large Preview(free)、Kimi K2.5,以及 Claude Sonnet 4.6等来自大陆的基座模型也成为OpenClaw重要的「座上宾」。
