最近,一款名叫OpenClaw的开源AI智能体软件火得一塌糊涂。因为谐音梗,大家更喜欢叫它"龙虾"。
这玩意儿到底有多火?简单说,国内主流云平台全都在提供一键部署服务,谁都能轻松上手。
听起来很美好,对吧?但就在短短几天内,事情突然反转了。
3月10日,国家互联网应急中心直接发布风险提示。紧接着11日,工信部网络安全威胁和漏洞信息共享平台也出手了。更夸张的是,珠海科技学院、安徽师范大学、江苏师范大学、华中师范大学、武汉科技大学……全国多所高校连夜发通知,明确严禁在校内安装使用,违规者将被严肃处理。
一个火爆全网的软件,为什么突然成了"过街老鼠"?
这只"龙虾",到底有多危险?
先说说OpenClaw有多强。它不是普通的聊天机器人,而是能听懂人话、直接操控你电脑的AI智能体。你说"帮我整理一下桌面",它真能自己去操作你的文件。
为了实现这个功能,开发者给了它极高的系统权限:可以访问你的本地文件、读取环境变量、调用外部服务API,甚至能自己安装扩展。
问题就出在这里。
官方的风险提示明确指出:OpenClaw的默认安全配置存在严重缺陷。什么叫严重缺陷?就是说,一旦被攻击者盯上,你的系统完全控制权可能会被轻易拿走,连反抗的机会都没有。
这不是危言耸听。一个能随意操作你电脑的AI,如果被黑客控制,会发生什么?你的毕业论文、工作文件、私人照片、甚至银行密码,全都暴露在危险之中。
高校为何如此紧张?
仔细看这些发通知的高校,珠海科技学院、安徽师范大学、江苏师范大学……基本都是文科类或者师范类院校。
为什么?
因为这些学校的师生对技术的警惕性相对较低。看到别人都在用,自己也跟着装一个试试。但校园网环境下,一旦有一台机器中招,整个校园网络都可能面临风险。
华中师范大学、武汉科技大学等高校虽然还没完全禁止,但也紧急发布了风险提示,呼吁师生慎用。这种态度已经说明问题了:这玩意儿,真不能随便玩。
官方"六要六不要",普通人该怎么理解?
工信部发布的"六要六不要"建议,其实给我们划出了明确的安全底线:
一要使用官方最新版本(不要用盗版或不明来源的版本)
二要严格控制互联网暴露面(别把它暴露在公网上)
三要坚持最小权限原则(只给必需的权限,别让它为所欲为)
四要谨慎使用技能市场(别乱装第三方插件)
五要防范社会工程学攻击和浏览器劫持(别轻易相信陌生指令)
六要建立长效防护机制(定期检查,及时更新)
说白了,如果你非要用这只"龙虾",就得做好全方位的安全防护。但对于绝大多数普通用户来说,最安全的方式可能就是:先别用。
技术越便利,越要警惕
OpenClaw的走红,再次印证了一个道理:技术的进步往往跑在安全意识前面。当我们在惊叹AI能帮我们干活的时候,很少有人会去想,它会不会干坏事?
这不是OpenClaw独有的问题,而是所有高权限AI智能体共同面临的安全困境。给AI越多权限,它能帮你做的事就越多,但一旦出问题,损失也就越大。
