近期,一款名为OpenClaw的开源AI智能体突然走红网络。因其logo是一只张牙舞爪的龙虾,网友们亲切地将其称为“龙虾”助手。这款工具凭借自主操作电脑、自动处理办公任务的强大能力,一度被网友奉为打工人的“摸鱼神器”。然而,还没等大家充分体验其便捷性,国家互联网应急中心便发布安全预警,给这股“龙虾热”泼了一盆冷水——这款看似实用的工具,实则暗藏多重安全隐患,不容忽视。
一、官方预警:“龙虾”暗藏四大安全隐患
3月10日,国家互联网应急中心正式发布风险提示,明确指出由于多数用户安装和使用方式不当,OpenClaw已出现多种严重安全风险,其影响覆盖个人用户与企业单位,甚至波及关键行业。具体来看,四大安全隐患尤为突出:
其一,提示词注入风险。不法分子会在网页中隐藏恶意指令,诱导“龙虾”读取该页面,进而套取用户的系统密钥,实现对设备的初步渗透。其二,误操作风险。由于技术尚未成熟,“龙虾”有时会误解用户指令,曾出现过无视用户限制、批量删除邮件、误删核心工作数据等失控案例,其安全审计通过率极低。其三,插件投毒风险。部分适配“龙虾”的功能插件被黑灰产篡改,存在恶意程序,安装后会窃取用户密钥、植入木马,导致设备被他人远程操控,沦为“肉鸡”。其四,安全漏洞风险。目前OpenClaw已被曝光多个高中危漏洞,其默认安全配置极为脆弱,一旦被不法分子利用,会直接导致系统失控、隐私及敏感数据泄露。
这些风险的危害不容小觑:对个人用户而言,照片、聊天记录、支付账户等隐私信息可能被窃取;对金融、能源等关键行业来说,可能引发核心数据泄露、业务系统瘫痪,造成难以估量的经济损失与安全风险。
二、多校紧急响应:严禁或规范使用,守护校园数据安全
官方预警发布后,多所高校第一时间跟进,结合校园数据安全需求,要么全面禁止使用,要么发布详细规范建议,筑牢校园数据安全防线。
珠海科技学院态度明确,其信息数据管理处于3月10日发布通知,明确规定即日起全校教职工,严禁在办公设备、教学终端及校园网络环境(含VPN远程连接终端)中,安装、运行“龙虾”本体、衍生版本及相关插件、脚本;已安装的需立即彻底卸载,并清除全部配置、缓存及日志文件,学校将不定期开展安全扫描核查,违规者将依规严肃处理。
安徽师范大学同步发布预警,指出“龙虾”隐私泄露风险极高、自主执行易失控,要求全校教职工严禁在处理教学科研、学生信息等工作场景中使用该工具,坚守校园数据安全底线,同时提醒师生切勿因跟风心理盲目安装部署。
江苏师范大学则给出了更为细致的规范建议,明确师生若确需使用“龙虾”,需通过云端服务器、虚拟机等隔离技术部署,严禁将服务暴露在公网;部署时严禁使用管理员权限,仅授予完成任务必需的最小权限,对删除文件、发送数据等重要操作需进行二次确认或人工审批,同时审慎下载技能包,杜绝恶意插件风险。
三、深层原因:校园数据“富矿”,容不得半点风险
高校之所以反应如此激烈,核心原因在于校园本身就是数据“富矿”——科研成果、学生个人信息、行政管理数据等,均属于高度敏感信息,一旦泄露,后果不堪设想。
而OpenClaw的核心问题的在于,它要实现自主执行任务的功能,必须获取电脑高权限,这就意味着用户的聊天记录、账号密码、邮件内容等敏感信息,都会以明文形式存储在本地。“高权限”搭配“高自主能力”,再加上其信任边界模糊、缺乏完善的权限控制和审计机制,一旦某个环节出现疏漏,无论是被恶意攻击还是出现误操作,都可能引发灾难性后果。
更值得警惕的是,若“龙虾”在校园内被大规模滥用,风险还可能在校园网内横向扩散,影响教学、科研、行政管理等各个环节,甚至导致整个校园网络系统瘫痪,其危害远超单纯的数据泄露。此外,部分非正规“代装”服务还可能趁机收割“智商税”,进一步放大安全风险。
四、理性看待:不是抵制AI,而是守住安全底线
仔细观察高校的各项举措不难发现,这并非一味否定AI技术,恰恰相反,是在技术尚未成熟、安全机制尚未完善的前提下,主动守住安全底线,既是对师生负责,也是对学校和社会负责。
目前,OpenClaw的安全机制仍有明显短板——权限隔离、审计机制、安全加固等相关建设仍在推进中,技能市场更是鱼龙混杂,不少技能包存在恶意代码风险,普通用户缺乏专业能力辨别,极易踩坑。中国信息通信研究院副院长魏亮也表示,即便“龙虾”升级至最新版本,仅能修复已知漏洞,无法彻底消除风险,需用户落实动态防护措施。
针对这一情况,工信部网络安全威胁和漏洞信息共享平台也发布了实用的“六要六不要”建议,为用户规范使用提供指引:要使用官方最新版本,不要使用第三方镜像或历史版本;要严格控制互联网暴露面,不要将服务直接暴露在公网;要坚持最小权限原则,不要使用管理员权限部署;要审慎使用技能包并审核代码,不要使用要求下载ZIP压缩包、执行shell脚本或输入密码的技能包;要防范社会工程学攻击和浏览器劫持,不要浏览不明网站、点击陌生链接;要建立长效防护机制,不要禁用详细日志审计功能。
技术在狂奔,我们更不能停下思考的脚步。在AI深度融入各行各业的今天,“龙虾”AI的爆火与预警,给所有人上了生动一课:AI再智能、再便捷,安全始终是不可逾越的底线。盲目追新不如规范使用,唯有守住安全底线,才能让AI技术真正成为助力我们工作生活的工具,而非潜在的安全隐患。
