近期，一款名為OpenClaw的開源AI智能體因圖標(biāo)形似紅色龍蝦，被用戶親切稱為“龍蝦”，在技術(shù)圈引發(fā)廣泛關(guān)注。該工具通過整合通信軟件與大語言模型，可自主完成文件管理、郵件收發(fā)、數(shù)據(jù)分析等復(fù)雜任務(wù)，但其安全風(fēng)險也隨著使用場景的擴(kuò)展逐漸顯現(xiàn)。中國信息通信研究院專家提醒，盡管開發(fā)者已通過版本更新修復(fù)部分已知漏洞，但網(wǎng)絡(luò)安全威脅的動態(tài)性決定了風(fēng)險無法被徹底消除。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺此前已發(fā)布風(fēng)險提示，指出“龍蝦”智能體的自主決策機(jī)制與系統(tǒng)資源調(diào)用能力，疊加其技能包市場審核機(jī)制不完善、信任邊界模糊等問題，可能為黑客提供可乘之機(jī)。專家強(qiáng)調(diào)，單純依賴補(bǔ)丁更新或版本升級無法構(gòu)建長期安全防線，用戶需建立多維防護(hù)體系。

針對黨政機(jī)關(guān)、企事業(yè)單位及個人用戶，專家提出六項具體防護(hù)建議：一是優(yōu)先通過官方渠道獲取最新穩(wěn)定版本，升級前備份數(shù)據(jù)并驗證補(bǔ)丁有效性，避免使用非官方鏡像或舊版軟件；二是嚴(yán)格限制互聯(lián)網(wǎng)暴露面，禁止將智能體實例直接暴露于公網(wǎng)，通過強(qiáng)密碼、硬件密鑰及IP地址白名單強(qiáng)化訪問控制；三是落實最小權(quán)限原則，禁用管理員賬號部署，僅授予任務(wù)必需權(quán)限，并對敏感操作設(shè)置二次確認(rèn)或人工審批流程。

在技能包使用方面，專家特別提醒用戶警惕ClawHub社區(qū)平臺中的潛在風(fēng)險。由于部分技能包可能包含惡意代碼，建議安裝前審查源代碼，拒絕執(zhí)行任何要求下載壓縮包、運行腳本或輸入密碼的操作。用戶需防范社會工程學(xué)攻擊，避免點擊不明鏈接或訪問可疑網(wǎng)站，可通過啟用網(wǎng)頁過濾器、設(shè)置OpenClaw速率限制及日志審計功能降低風(fēng)險。

長效防護(hù)機(jī)制的建立同樣關(guān)鍵。專家建議用戶開啟詳細(xì)日志記錄，定期檢查系統(tǒng)漏洞，結(jié)合殺毒軟件與網(wǎng)絡(luò)安全工具進(jìn)行實時監(jiān)控。同時，需持續(xù)關(guān)注OpenClaw官方安全公告及工信部漏洞庫預(yù)警信息，確保第一時間響應(yīng)新發(fā)現(xiàn)的安全威脅。通過技術(shù)防護(hù)與用戶習(xí)慣的雙重強(qiáng)化，方能在享受AI便利的同時最大限度降低風(fēng)險。