开源AI智能体OpenClaw(俗称“龙虾”)近期的火爆程度无需多言,但随着“养虾”热潮的蔓延,潜在的安全风险也浮出水面,甚至催生了“代卸载”这门特殊的生意。
安全预警拉响,专家提示风险
针对OpenClaw可能带来的安全隐患,工业和信息化部网络安全威胁和漏洞信息共享平台早在2月初就发布了风险提示。随着用户量的激增,中国信息通信研究院专家近期再次发出警告:尽管OpenClaw已更新至最新版本修复了已知漏洞,但这并不意味着完全消除了安全风险 。
专家指出,OpenClaw强大的自主决策能力如同一把双刃剑。主要风险集中在三个方面:
1、指令误解: 在调用大语言模型时,AI可能误解用户指令,导致执行删除文件等破坏性操作。
2、技能包投毒: 第三方开发的“技能包”(Skill)市场缺乏严格审核,恶意代码可能导致数据泄露或系统被远程控制。
3、配置不当: 许多用户将实例直接暴露于公网、使用管理员权限运行或明文存储密钥,这些配置陋习给了黑客可乘之机
商机与危机并存:“代卸载”服务上线
OpenClaw强大的功能吸引了许多希望提升工作效率的用户,但其复杂的配置和对系统资源的深度调用,也让不少技术小白望而却步。然而,随着风险事件的曝光,市场风向突变。据媒体报道,在部分交易平台上,已有商家推出了“OpenClaw代卸载”服务。其中,远程卸载收费199元,而上门卸载(仅限上海地区)则高达299元,商家甚至打出“安全彻底,无残留”的口号 。
这一现象折射出部分用户在尝鲜后发现技术门槛或安全隐患超出预期时的焦虑心态。对此,工信部专家呼吁,无论是党政机关、企事业单位还是个人用户,都应审慎使用此类智能体,并务必遵循“最小权限、主动防御、持续审计”的原则。建议用户仅从官方渠道下载最新版,严禁使用管理员权限账户,并对重要操作设置人工审批流程 。
OpenClaw的“爆红”与“卸载潮”,是技术狂热与安全理性的一次碰撞,也为整个AI智能体行业的发展敲响了警钟。