开源人工智慧代理(AI Agent)、俗称「龙虾」的OpenClaw最近成为热潮,但因被赋予了极高的系统权限,安全风险引起关注。大陆国家互联网应急中心、中国网路空间安全协会周日(22日)联合发布OpenClaw安全使用实践指南,面向普通用户、企业用户、云服务商以及技术开发者等,提出详细安全防护建议。
据澎湃新闻网,该指南对于普通用户的建议包括:使用专用设备、虚拟机或容器安装OpenClaw,并做好环境隔离,不宜在日常办公电脑上安装;不使用管理员或超级用户权限运行OpenClaw;不在OpenClaw环境中存储、处理隐私数据;及时更新OpenClaw最新版本等。对于云服务商,建议包括做好云主机基础安全层面的安全评测与加固;做好安全防护能力部署、接入;做好供应链及数据安全防护。
对于企业用户的建议则包括:做好安全管理制度与使用规范,始建立内部使用规范和审批流程,对引入新的AI 代理应用或高权限功能需经过安全评估和管理层批准;做好基础网路与环境安全防护,对AI代理所在服务器启用主机入侵防御等;做好AI代理运行监控与审计追踪,对关键操作和安全相关事件应生成审计日志并防篡改保存;以及做好人员培训与应急演练等。
此前,大陆曾禁止国企和大型银行使用OpenClaw。大陆国家安全部17日还为此发布「龙虾」(OpenClaw)安全养殖手册」,并示警「养龙虾」可能面临四大风险:主机可能被接管、数据可能被窃取、言论可能被篡改、技术可能有漏洞。
手册指出,「龙虾」智能体透过整合通讯软件与大语言模型,并依托高许可权实现自主操作,成为其核心优势。龙虾可透过聊天程式远端执行使用者指令,自主完成任务,系统内建大量技能外挂程式,用户可直接下载使用,形成涵盖档案管理、邮件撰写、日历调度、网页浏览与定时任务等多场景的工具链。
