近日，开源人工智能代理“龙虾”走红并引起广泛争议。是否存在安全风险？我怎样才能安全地使用它？就此，记者采访了中国信息通信研究院副院长魏良先生。所谓“龙虾”是开源人工智能代理OpenClaw的昵称。它以其标志为红色龙虾而得名。通过集成通信软件和广泛的语言模型，Lobster代理可以在用户本地计算机上自主执行复杂的任务，例如文件管理、发送和接收电子邮件以及数据处理。 “但也应该看到，其强大的执行能力给用户带来了严峻的安全挑战。”梁伟表示，作为本地执行的AI智能体，“龙虾”智能体的特点是自主决策和调用系统资源。此外，还有男由于信任界限模糊且技能包市场目前缺乏严格的研究，因此存在潜在风险。例如，在调用大型语言模型时，用户的指令可能会被误解，从而导致删除等有害操作。使用带有恶意代码的技能包可能会导致数据泄露和系统被接管。更新到最新版本是否存在安全风险？在魏亮看来，更新到最新正式版本修复了已知的安全漏洞，但这并不意味着安全风险完全消除。 “网络安全是动态的，黑客的攻击手段不断重复，‘打补丁’或‘更新’并不能保证唯一的安全”。使用“龙虾”剂时要注意什么？魏亮认为，应坚持“最小特权、主动防御、持续审计”的原则。具体来说，我们建议您安全地使用“龙虾”剂以下几点： ——查看最新官方版本。请使用它。部署时，应优先从官方渠道下载最新稳定版本，并开启自动更新提醒。更新前请备份数据，更新后重启服务，检查补丁是否生效。 ——严格控制网络暴露。不要将“Lobster”代理实例暴露于公共网络。定期检查您的 Internet 暴露情况。 ——我们坚持最小特权原则。部署过程中严禁使用具有管理员权限的帐户。仅授予完成任务所需的最低权限。要形成单独的权限范围，我们建议在容器或虚拟机中隔离运行它。 ——使用技能市场要小心。 ClawHub是一个社区平台，旨在为“龙虾”代理的用户提供技能包。其包含的技能包存在恶意poiso的风险宁。我们建议您仔细下载并在安装之前检查技能包代码。 ——防止社会工程攻击和浏览器劫持。不要随意浏览来源不明的网站或点击来历不明的网页链接。如果您发现任何行为可疑，请立即断开您的网关并重置密码。 ——建立长效保障机制。启用详细的日志审核并定期检查和修补漏洞。您应定期关注漏洞库的风险预警，如工信部网络安全威胁与漏洞信息共享平台。 “用户在使用龙虾等人工智能代理时，必须把控安全底线，详细了解和执行安全配置规范，遵守要求，养成安全使用习惯。”杨说，官方将持续密切监控安全情况，如有相关安全问题，将及时处理。如发现风险，我们将及时发出预警，并为用户的安全使用提供必要的技术支持。
（编辑：刘鹏）