最近,“龙虾”智能体特别火,大家都在讨论它怎么用才安全。记者联系了中国信息通信研究院副院长魏亮,他说了说怎么防范风险。这个“龙虾”其实是OpenClaw的小名,图标长得像只红色的大龙虾。它把通信软件和大语言模型结合起来,直接在你电脑上干活,比如处理文件、收发邮件这些复杂任务。 不过,它这么能干也带来了不少麻烦。魏亮说,既然这是个本地运行的AI助手,它就能自己做决定、调用系统资源。再加上谁也分不清信不信得过它,技能市场上的东西也没严格审查过,隐藏着很多危险。比如大语言模型要是听岔了指令,可能就把不该删的文件删掉了;用了带病毒的技能包,数据泄露甚至电脑被人控制都有可能。 更新到最新版本是不是就万事大吉?魏亮不这么认为。虽然更新能补好已知的洞,但黑客那一套手段也在变,“打补丁”和“升版本”可不能当一劳永逸的护身符。 具体要注意哪些?魏亮建议大家照着“最小权限、主动防御、持续审计”的原则来办。 ——先把官方最新版本安上。从官网直接下载稳定版,开着自动更新提醒。升级前先备份数据,升完重启一下看看补丁有没有生效。 ——别把电脑暴露在公网上。哪怕非要上网访问,也要把谁能连进来给限制死,用强密码或者证书、硬件密钥之类的东西来验证身份。自己也要定期查查有没有人偷偷连进来。 ——给权限定个位。别拿管理员权限账号来运行它,只给它干活必须用的最小权限。最好在容器或者虚拟机里跑起来,划出个独立的圈子。 ——用ClawHub的时候要小心点。这个专门给“龙虾”装技能包的地方存在恶意投毒风险,下载之前一定要先看一眼代码。 ——别中了社会工程学的圈套也别被浏览器劫持了。别乱点开不明网站和链接,遇到可疑情况赶紧断网并改密码。 ——建个长期的防御机制。把日志审计功能打开定期查漏洞。还要经常看看工业和信息化部的漏洞信息共享平台有啥预警。 魏亮提醒大伙儿,用“龙虾”这类AI时一定要守住安全底线,照着配置规范来做养成好习惯。相关部门也会盯着呢,发现风险马上预警好给大伙提供技术支持。