工信部专家：审慎利用“龙虾”等智能体

520520hyz · 发表于 4 天前

朋友，既然来了，加入我们的大家庭呗~

您需要登录才可以下载或查看，没有账号？立即注册

×

近期，开源AI智能体“龙虾”非常火爆，不但受到国内财产界和广大用户的广泛关注，各人更是积极开展实践应用。与此同时，互联网上针对“龙虾”智能体安全的探究也非常多，之前工业和信息化部网络安全威胁和毛病信息共享平台也发布过相干的安全风险提示，各人也非常关注。“养龙虾”是否安全？个人用户“养龙虾”又该留意什么？记者采访了中国信息通讯研究院副院长魏亮。
记者：广大用户非常关注工信部之前发布的“龙虾”安全风险提示，那么，在“龙虾”更新到最新版本后，是否就没有安全风险了？
魏亮：“龙虾”是开源AI智能体OpenClaw的别称，由于它的图标是赤色的龙虾，以是得名。它通过整合调用通讯软件和大语言模子，在用户当地电脑自主实行文件管理、邮件收发、数据处置惩罚等复杂使命。“龙虾”出现以后，受到我国财产界和广大用户的广泛关注，各人积极开展实践应用，推动了我国AI智能体生态的繁荣，但也要留意到，“龙虾”很强的实行本领也给用户带来了严肃的安全挑衅。近期，工业和信息化部网络安全威胁和毛病信息共享平台发布“关于防范OpenClaw开源AI智能体安全风险的预警提示”，针对存在的安全风险给出了一些防范发起。
现在，“龙虾”智能体更新迭代非常快，通过更新到官方最新版本，确实能修复已知的安全毛病，但并不意味着完全消除安全风险。作为当地运行的AI署理，“龙虾”具有自主决议、调用体系资源等特点，加之信托界限含糊、技能包市场现在许多还缺乏严酷考核，存在不少风险隐患。好比：在调用大语言模子时大概误解用户指令内容，导致实行删除等有害操纵。利用被植入恶意代码的技能包，大概导致数据泄漏或体系受控。由于将实例袒露于互联网、利用管理员权限、明文存储密钥等设置题目，纵然升级到最新版本，假如不接纳针对性的防范步伐，依然存在被攻击风险。网络安满是动态的，黑客攻击伎俩也在不停迭代，不能把“打补丁”和“升版本”当成“一劳永逸”的安全保障。
我们号令，党政构造、企奇迹单元和个人用户要审慎利用“龙虾”等智能体。在发现“龙虾”等智能体的安全毛病，大概针对“龙虾”等智能体的安全威胁和攻击变乱时，可以第一时间向工业和信息化部网络安全威胁和毛病信息共享平台报送，按照《网络产物安全毛病管理规定》要求，平台将实时构造处理，切实维护网络安全，保障广大用户的权益。
记者：在利用“龙虾”智能体的过程中必要留意哪些方面？怎样才气确保安全？
魏亮：这个题目非常关键。任何网络产物的安全利用，除了实时举行升级更新外，还必须对峙“最小权限、自动防御、连续审计”的原则。联合前期发布的风险提示，发起从以下几方面来安全利用“龙虾”智能体。
第一，利用官方最新版本。在摆设时，要优先从官方渠道下载最新稳固版，并开启主动更新提示。在升级前备份数据，升级后重启服务并验证补丁是否见效。切勿利用第三方镜像或旧版。
第二，严酷控制互联网袒露面。肯定不要将“龙虾”智能体实例袒露到公网，确需互联网访问的可以通过SSH或VPN，而且限定访问源地点，利用强暗码或证书、硬件密钥等认证方式。同时，定期自查是否存在互联网袒露环境，一旦发现立刻下线整改。
第三，对峙最小权限原则。在摆设时，严禁利用管理员权限的账号，只授予完成使命必须的最小权限，对删除文件、发送数据、修改体系设置等紧张操纵举行二次确认或人工审批，发起在容器或假造机中隔离运行，以形成独立的权限地区。
第四，审慎利用技能市场。ClawHub是专为“龙虾”智能体用户提供技能包的社区平台，此中的技能包存在恶意投毒风险，发起审慎下载，并在安装前检察技能包代码，拒绝任何要求“下载ZIP”、“实行shell脚本”或“输入暗码”的技能包。
第五，防范社会工程学攻击和欣赏器挟制。不要随意欣赏来源不明的网站，制止点击生疏的网页链接。发起利用欣赏器沙箱、网页过滤器等扩展制止可疑脚本，启用OpenClaw速率限定和日记审计功能，碰到可疑举动立刻断开网关并重置暗码。
第六，创建长效防护机制。启用具体日记审计功能，定期查抄并修补毛病，党政构造、企奇迹单元和个人用户可以联合网络安全防护工具、主流杀毒软件举行及时防护。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和毛病信息共享平台等毛病库的风险预警，实时处理大概存在的安全风险。
末了再次夸大，广大用户在利用“龙虾”等AI智能体的过程中，肯定要把安全底线把握在本身手中，具体相识并落实安全设置规范要求，养成安全利用风俗。我们也会连续做好安全监测，如发现相干安全风险将实时预警，为各人安全利用提供须要的技能支持。（王政）

(责编：卫嘉、白宇)
关注公众号：人民网财经

		自动登录	找回密码
密码			立即注册