近期,一款名为“”的开源智能体在业界迅速走红,其强大的功能和多场景应用吸引了大量用户。然而,随着其普及程度的提升,安全隐患也逐渐显现,引发监管部门的高度关注。
3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台发布了关于防范OpenClaw开源智能体安全风险的“”建议,旨在引导企业和个人用户更好地应对潜在的安全威胁。
作为一款支持跨平台操作的智能助手,OpenClaw能够通过与企业管理系统对接实现自动化数据分析、文档处理及代码生成,同时也能为个人用户提供日程管理、事务提醒等服务。然而,其开放架构特性导致部署过程中易因非官方插件植入、权限配置疏漏等问题引发数据泄露、系统入侵等安全事件。
工信部安全评估报告揭示四大高风险场景:在智能办公环境中,第三方插件或技能包可能成为供应链攻击入口,致使企业数据库、系统平台等核心信息出现泄露情况;开发运维场景下,非授权命令执行或设备遭劫持可能暴露系统账号与端口配置;个人助手模式中,过高权限设置或网络攻击可能导致用户隐私数据被窃取;金融交易场景里,或认证绕过机制可能引发错误交易或账户非法接管。
面对上述严峻的安全风险,江苏常州某企业积极采取应对措施,该企业产品负责人透露,在试用OpenClaw进行文件整理时,该工具曾自主删除其判定为非关键的文件,“未经多轮指令优化与精细化调校,难以满足复杂业务场景需求”。该企业采用“最小权限 + 分级管控 + 安全审计”的混合防御机制,通过运行平衡效率与安全。
“六要六不要”具体指引包含六大核心原则:其一,优先使用官方渠道最新稳定版本,启用自动更新功能可确保及时获取安全补丁,验证补丁有效性能避免因补丁问题引发新的故障,严禁使用第三方镜像或历史版本;其二,严格控制互联网暴露面,通过SSH加密通道限制访问源,采用硬件密钥等强认证方式,杜绝直接暴露智能体实例至公网;其三,遵循,仅授予业务必需权限,重要操作需二次确认,优先在虚拟化环境中隔离运行;其四,审慎使用技能市场,安装前需代码审查,拒绝执行shell脚本或输入密码的技能包;其五,防范社会工程学攻击,启用浏览器沙箱与日志审计功能,避免访问不可信网站或点击陌生链接;其六,建立动态防护机制,定期漏洞扫描并订阅官方安全公告,结合杀毒软件实现实时监控,保留完整审计日志。
3月10日,国家互联网应急中心发布的《OpenClaw安全应用风险警示》指出,该工具凭借支持自然语言操控计算机这一特性而迅速普及,但其高系统权限需求与默认安全配置缺陷已被证实存在重大漏洞,攻击者可借此获取完全控制权。目前确认的四类核心风险包括、误操作、插件投毒及系统性安全漏洞。
工信部相关负责人强调,随着网络语言生态演变,“龙虾”一词在特定社群中产生衍生含义,此次发布指引旨在规范使用行为而非限制语言创新,防止词语污名化或过度商业化。该倡议获得多家互联网平台响应,某社交平台表示将优化内容审核机制,对违规用词进行标注限制;电商平台计划加强商品描述监管,避免不当营销关联。
语言学家认为,此举有助于提升网络交流文明度,引导公众关注语言的社会影响。值得注意的是,指引聚焦使用行为而非词汇本身,与现有网络信息治理政策形成协同效应。落实过程中需平台、用户与监管部门协同,通过技术过滤、行业自律与公众教育多管齐下。部分网友支持规范网络用语,认为过度玩梗会破坏沟通环境;亦有声音建议保持政策弹性,避免“一刀切”管理。
工信部回应称将持续评估实施效果,完善治理体系。专家建议用户与企业采取严格安全策略:禁用自动更新功能,仅安装经数字签名的扩展程序;审核插件来源合法性;建立凭证轮换机制;定期关注官方安全通报并及时升级。
资本市场对此反应显著,3月11日“龙虾”概念股集体回调,A股博睿数据盘中跌幅超12%,尾盘收窄至8.75%(前两交易日分别上涨20%与16.4%);昆仑万维、顺网科技等跟跌。港股市场“龙虾三兄弟”迅策科技午后持续下探,收盘跌8.19%,Mini Max与智谱AI跌幅均超6%。
(作者 李强)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/238767.html