“養(yǎng)龍蝦”的第一批受害者出現(xiàn)了！有人專門花錢卸載……

近日，互聯(lián)網(wǎng)上掀起一股“養(yǎng)龍蝦”熱潮。

由于開源AI智能體工具OpenClaw圖標是一只紅色龍蝦，被大家稱為“龍蝦”。它通過整合調(diào)用通信軟件和大語言模型，在用戶電腦上自主執(zhí)行文件管理、郵件收發(fā)、數(shù)據(jù)處理等復(fù)雜任務(wù)。

A surge of interest in the open-source AI agent tool OpenClaw has raised growing concerns over privacy and cybersecurity risks, prompting authorities to issue warnings about potential vulnerabilities.

Online users have nicknamed the tool "lobster" because its icon resembles a red lobster. The agent can autonomously handle tasks such as file management, email processing and data analysis.

然而，“養(yǎng)龍蝦”也存在不少風險和隱患。

3月11日，相關(guān)話題#第一批養(yǎng)蝦人已經(jīng)開始卸載了#登上熱搜，引發(fā)網(wǎng)友熱議。有網(wǎng)友反饋，“養(yǎng)龍蝦”過程中，出現(xiàn)了亂刪郵件、隱私泄露等問題。

“養(yǎng)龍蝦”帶來的隱私與安全風險，正持續(xù)引發(fā)網(wǎng)友擔憂。

However, the trend has also raised concerns. On Wednesday, the topic "the first batch of lobster users has begun uninstalling" trended online after some users reported issues such as accidental email deletion and possible privacy leaks.

據(jù)藍鯨新聞，OpenClaw爆火后，也帶火了二手交易平臺的“龍蝦上門安裝服務(wù)”。然而，近日，上門卸載又迅速成為新的熱門業(yè)務(wù)。

The tool's sudden popularity has also spawned new services on second-hand trading platforms, where technicians offer "on-site installation". "On-site uninstallation" services have also become popular as users grow more cautious.

官方發(fā)布風險提示

2月5日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺監(jiān)測發(fā)現(xiàn)OpenClaw開源AI智能體部分實例在默認或不當配置情況下存在較高安全風險，極易引發(fā)網(wǎng)絡(luò)攻擊、信息泄露等安全問題。

Authorities have also issued risk alerts. On Feb 5, a platform under China's Ministry of Industry and Information Technology warned that some instances may face cyberattack and data leak risks due to weak configurations.

3月10日，國家互聯(lián)網(wǎng)應(yīng)急中心再次發(fā)布關(guān)于OpenClaw安全應(yīng)用的風險提示。

提示稱，OpenClaw默認安全配置脆弱，易被攻擊者獲取系統(tǒng)完全控制權(quán)，目前已出現(xiàn)提示詞注入、誤操作、功能插件投毒、安全漏洞四類嚴重安全風險。

On Tuesday, the National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC) said weak default settings could allow attackers to gain full system control, citing risks such as prompt injection, unintended operations, malicious plugins and software vulnerabilities.

如何安全“養(yǎng)龍蝦”呢？

專家建議，從以下幾方面來安全使用“龍蝦”智能體：

Experts have suggested several measures to reduce potential threats when using such AI agents.

第一，使用官方最新版本。

在部署時，要優(yōu)先從官方渠道下載最新穩(wěn)定版，并開啟自動更新提醒。在升級前備份數(shù)據(jù)，升級后重啟服務(wù)并驗證補丁是否生效。切勿使用第三方鏡像或舊版。

第二，嚴格控制互聯(lián)網(wǎng)暴露面。

一定不要將“龍蝦”智能體實例暴露到公網(wǎng)，并且限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式。

Users are advised to download the latest version from official sources, enable updates and back up data before upgrading. They should also avoid exposing instances to the public internet and use strong authentication methods.

第三，堅持最小權(quán)限原則。

在部署時，嚴禁使用管理員權(quán)限的賬號，只授予完成任務(wù)必需的最小權(quán)限，對刪除文件、發(fā)送數(shù)據(jù)、修改系統(tǒng)配置等重要操作進行二次確認或人工審批。

Experts recommend following the principle of least privilege by granting only the permissions necessary for tasks and requiring confirmation for sensitive operations.

第四，謹慎使用技能市場。

ClawHub是專為“龍蝦”智能體用戶提供技能包的社區(qū)平臺，其中的技能包存在惡意投毒風險，建議審慎下載，并在安裝前審查技能包代碼，拒絕任何要求“下載zip”“執(zhí)行shell腳本”或“輸入密碼”的技能包。

They also warn that skill packages on community platforms may contain malicious code, urging users to review them carefully before installation.

第五，防范社會工程學(xué)攻擊和瀏覽器劫持。

不要隨意瀏覽來歷不明的網(wǎng)站，避免點擊陌生的網(wǎng)頁鏈接。建議使用網(wǎng)頁過濾器等擴展阻止可疑腳本，啟用OpenClaw速率限制和日志審計功能，遇到可疑行為立即斷開網(wǎng)關(guān)并重置密碼。

第六，建立長效防護機制。

啟用詳細日志審計功能，定期檢查并修補漏洞，黨政機關(guān)、企事業(yè)單位和個人用戶可以結(jié)合網(wǎng)絡(luò)安全防護工具、主流殺毒軟件等進行實時防護。要定期關(guān)注OpenClaw官方安全公告、工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺等漏洞庫的風險預(yù)警，及時處置可能存在的安全風險。

In addition, users should avoid suspicious websites and links, enable security tools and regularly check for vulnerabilities.

用戶在使用“龍蝦”等AI智能體的過程中，一定要詳細了解并落實安全配置規(guī)范要求，養(yǎng)成安全使用習(xí)慣。

審慎使用

注意隱私安全

來源：中國青年報 國家互聯(lián)網(wǎng)應(yīng)急中心 藍鯨新聞 澎湃新聞 封面新聞 人民日報 每日經(jīng)濟新聞

跟著China Daily

精讀英語新聞

“無痛”學(xué)英語，每天20分鐘就夠！