- 廣告 -
OpenClaw 「龍蝦」熱潮席捲全國,根據內地的媒體報導,近期每日有超過 150 萬人加入「養蝦」行列, 有人單是幫人安裝「龍蝦」,就賺得 5 位數的日薪,不過根據數據顯示,絕大部分加入「養蝦」行列的人,都是對 AI 代理與及對電腦系統安全的認識非常有限的新手,也未必知道「龍蝦」在執行過程中會耗用極大量的 AI Token,即是會很「燒錢」! 更可能不了解「龍蝦」潛在的安全風險。有見「龍蝦熱」有失控的勢頭,中國政府工業和信息化部(工信部,MIIT)發布開源代理程式 OpenClaw(代號「龍蝦」)安全風險警示。
央視新聞於 3 月 11 日報道,針對「龍蝦」在應用場景中的安全風險,工信部提出了「六個必要 六個不要」的安全建議,旨在應對該技術在快速普及的過程中出現暴露的高權限運作、內網滲透、隱私洩露等嚴重安全隱患。 以下是工信部指南中「六個必要 六個不要」的具體細節:
六項建議安全措施
- 使用最新官方版本:從官方管道下載穩定版本,並停用第三方鏡像站。
- 嚴控網路暴露:自查並消除 OpenClaw 實例直接暴露於公共網路的風險。必要遠端存取須採用加密通道(如 SSH)並限制來源 IP。
- 遵循最小權限原則:僅授予任務所需最低權限。關鍵操作(刪除、資料傳輸、配置變更)須經二次確認或人工審批。
- 謹慎使用技能市集:嚴格審查 ClawHub「技能套件」程式碼,避免高風險外掛程式。
- 防範社會工程攻擊:採用沙盒環境與網路過濾機制,啟用日誌稽核功能。
- 建立長期防護機制:持續監控漏洞警報,即時部署修補程式,完整保留操作日誌。
六項應避免的危險操作
- 切勿使用第三方鏡像版本或歷史發布版本。
- 切勿將「Lobster」AI 實例暴露於公共網際網路。
- 切勿使用管理員級帳戶進行部署。
- 切勿採用需「ZIP 下載」、「殼層指令執行」或「密碼輸入」的技能套件。
- 切勿瀏覽未驗證網站、點擊陌生連結或開啟不可信文件。
- 切勿停用詳細日誌稽核功能。
高風險情境與警示
工信部已確認 OpenClaw 存在嚴重風險,包括透過提示注入或插件方式觸發網絡入侵的風險。以下情境特別容易發生供應鏈攻擊或內部網路滲透:
- 廣告 -
- 智慧辦公室:敏感資訊外洩、系統接管。
- DevOps:程式碼外洩、遭劫持作為跳板。
- 個人助理:隱私竊取。
- 金融交易:帳戶接管。
據報告顯示,安全團隊發現逾 20 萬個「Lobster」實例暴露於公共網路,構成極高風險。
延伸閱讀
- 廣告 -
