近期，一款名為OpenClaw的開源AI智能體因圖標形似紅色龍蝦，被用戶親切地稱為“龍蝦”，在網(wǎng)絡上引發(fā)廣泛關注。這款工具通過整合通信軟件與大語言模型，能夠在用戶設備上自主完成文件管理、郵件處理、數(shù)據(jù)分析等復雜任務，其自主決策和資源調(diào)用能力吸引了眾多用戶。然而，中國信息通信研究院專家近日發(fā)出警示，盡管“龍蝦”已更新至最新版本并修復了部分已知漏洞，但其安全風險并未完全消除。

專家指出，“龍蝦”的自主特性與模糊的信任邊界，疊加技能包市場審核機制缺失的現(xiàn)狀，使其面臨多重安全隱患。網(wǎng)絡安全領域具有動態(tài)性，黑客攻擊手段持續(xù)升級，單純依賴版本更新或補丁修復難以形成長期有效的防護。此前，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺已針對該工具發(fā)布過風險提示，提醒用戶保持警惕。

針對安全使用問題，專家提出“最小權限、主動防御、持續(xù)審計”三大核心原則，并給出具體操作建議：用戶應通過官方渠道獲取最新穩(wěn)定版本，開啟自動更新提醒，并在升級前備份數(shù)據(jù)、驗證補丁效果；部署時需避免將實例暴露于公網(wǎng)，采用強密碼、硬件密鑰等認證方式，同時限制訪問源地址；權限分配應遵循“最小化”原則，僅授予任務必需權限，并對敏感操作設置二次確認或人工審批流程。

技能包市場是另一大風險點。作為“龍蝦”用戶專屬社區(qū)平臺，ClawHub中的技能包可能存在惡意代碼注入風險。專家建議用戶審慎下載，安裝前審查代碼邏輯，拒絕任何要求執(zhí)行腳本、輸入密碼或下載壓縮包的技能包。用戶需防范社會工程學攻擊，避免點擊可疑鏈接、訪問不明網(wǎng)站，并啟用網(wǎng)頁過濾器、速率限制等功能，遇到異常行為立即重置密碼并斷開網(wǎng)絡連接。

為構(gòu)建長效防護機制，用戶應啟用詳細日志審計功能，定期檢查系統(tǒng)漏洞，結(jié)合殺毒軟件與網(wǎng)絡安全工具進行實時監(jiān)控。同時，需持續(xù)關注OpenClaw官方安全公告及工業(yè)和信息化部漏洞庫預警信息，及時響應潛在風險。專家強調(diào)，安全使用AI智能體不僅依賴技術更新，更需用戶主動落實配置規(guī)范，培養(yǎng)良好的操作習慣。