3月11日这天,腾讯CEO马化腾在朋友圈发了一长串跟腾讯全系“龙虾”矩阵产品相关的内容,介绍自研龙虾、本地虾、云端虾、企业虾还有云桌面虾,还提到安全隔离虾房、云保安和知识库等等,说明有一批新的产品马上就要来了。可就在这个节骨眼儿上,已经有第一批“踩坑”的人出现了。有朋友花了半天时间,不明不白就被扣掉了200元。有的人还因为操作失误,把电脑里的文件全给删了。工信部和国家互联网应急中心那边也发出了安全预警。 这个事儿跟最近社交网络上特别火的“养龙虾”风潮有关。其实这不是真养虾,而是一款叫OpenClaw的AI智能体工具。因为图标是红色龙虾,大家把配置、调试它的过程,生动地比喻成“饲养”一个数字助手。OpenClaw宣称能变成24小时在线的“数字同事”,自动处理电脑任务,一下子就把大家都给吸引过去了。甚至有传闻说,只要去“上门安装”这个软件,一个月就能赚26万元。 到了3月10日,网上已经有不少人说要把OpenClaw给卸载了。甚至还有个IP地址显示在上海的商家给出了收费标准:上门帮人卸载收费299元,远程卸载收费199元,还拍着胸脯说“安全彻底,无残留”。记者联系了一位AI算法工程师周明(化名),他春节前就开始用了。周明说这种智能体他不陌生,但他也提到了自己的担心。 周明告诉记者,国家互联网应急中心在3月10日也发布了关于OpenClaw安全应用的风险提示。提示里说,国内主流云平台都能一键部署这个软件,它是按照自然语言指令直接操控电脑完成任务的。为了让它能自主执行任务,系统给它开了很大权限:访问本地文件系统、读取环境变量、调用外部API还有安装扩展功能等。 不过,因为默认的安全配置特别脆弱,一旦有漏洞被黑客发现,他们就能轻松获取系统的控制权。之前因为安装和使用不当已经出现了好几种严重的风险:提示词注入导致密钥泄露、误操作删除重要文件、功能插件投毒安装后门软件,还有安全漏洞导致隐私和数据泄露。 对于普通用户来说,敏感信息像照片、文档、聊天记录、支付账户和API密钥都可能被窃取。对于金融、能源这些关键行业来说,核心业务数据、商业机密和代码仓库可能被泄露,甚至让整个系统瘫痪。 所以建议大家采取一些措施:强化网络控制别让管理端口暴露在公网上;严格隔离运行环境限制权限;别在环境变量里明文存储密钥并建立日志审计机制;只从可信渠道安装经过签名验证的扩展程序;还要持续关注补丁更新及时修复漏洞。 除此之外,关于这个事儿还有不少有趣的新闻:有人靠它约到了5位女主播吃饭;有人宣称短短几天就赚了26万元;多地政府部门还宣布要给“养龙虾”的人发奖励呢。