近期,OpenClaw官网用于插件下载的论坛里被检测出336个恶意插件,占比达10.8%。专家建议,个人或企业用户不要在涉密设备上运行OpenClaw,还要做好安全防护等严格管控措施。
“龙虾”不设防
有问必答泄露隐私
目前最火的开源AI智能体——OpenClaw,因其图标是红色的龙虾,使用OpenClaw也被称为“养龙虾”。自发布以来,OpenClaw凭借其强大的自动化任务处理能力与开放式插件生态,在全球范围内引发部署热潮。与此同时,“养龙虾”暗藏的隐私泄露风险也引发广泛关注。
网络专家:指令注入
操控“龙虾”泄露信息
为什么一款开放AI智能体能够如此不设防?对方是如何一步步攻破防线,拿到他人隐私的?行业专家与网络安全工程师通过实测,还原了AI被恶意诱导泄露核心配置等敏感信息的全过程。
中国互联网协会数据安全与治理工作委员会专家常力元:AI很容易受误导,黑客不需要编写复杂的病毒代码,就可以通过发送一些诱导性的言语,或者在AI访问的页面里嵌入文字,从而催眠、控制“龙虾”,让“龙虾”主动泄露自己主人的信息,或者攻击自己的电脑,这个也被称为指令注入。
恶意插件风险凸显
藏信息窃取隐患
除了指令注入,恶意插件也是一大风险。近期,OpenClaw官网用于插件下载的论坛里被检测出336个恶意插件,占比达10.8%。如果“龙虾”不小心安装了这些插件,那么网友安装的不是帮手,而是偷取你信息的小偷。
中国计算机学会计算机安全专委会委员王媛媛:插件实际上是“龙虾”的一个独立功能模块,很像手机上的小程序,当执行一些比较复杂的指令操作,可以通过安装插件让“龙虾”正常运行,比如想让“龙虾”写一个PPT,就需要给“龙虾”装一个可以生成PPT的插件。恶意插件,实际上是在一些看起来很正常的代码里植入了恶意代码,最终目的是窃取数据,或者控制你的电脑。
专家建议,安装“龙虾”插件时,还是要选择下载量大,有安全证书的插件。
专家支招正确“养龙虾”
如何做好安全防护
随着OpenClaw这类AI智能体越来越普及,如何安全、规范地使用,成为个人和企业都要面对的问题。专家建议,个人或企业用户不要在涉密设备上运行OpenClaw,还要做好安全防护等严格管控措施。
中国计算机学会计算机安全专委会委员王媛媛:第一,个人使用“龙虾”,要尽量保证安装的“龙虾”版本及时更新,因为有很多漏洞存在的时候,它会有很多安全隐患,所以要尽可能地保持使用最新的安装版本。
第二,对企业来说,在使用“龙虾”的时候,要使用一些安全防护手段来进行控制,比如说阻止一些邮件的发送,阻止一些外网的访问等。
专家表示,随着AI智能体使用门槛不断降低,普通网民在使用OpenClaw时,应更加关注它的安全性。专家进一步强调,不能忽视权限管控的重要性,不能赋予AI工具过度的系统权限。
来源:央视财经
(文章来源:央视财经)
