南方都市报3月11日A01版。

这只“龙虾”啥来头？

• “龙虾”是开源AI智能体OpenClaw的别称，因为它的图标是红色的龙虾，所以得名

• 通过整合调用通信软件和大语言模型，在用户本地电脑自主执行文件管理、邮件收发、数据处理等复杂任务

• 为实现“自主执行任务”的能力，该应用被授予了较高的系统权限，包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口（API）以及安装扩展功能等

• 由于其默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权

安全风险预警提示

• 在调用大语言模型时可能误解用户指令内容，导致执行删除等有害操作

• 使用被植入恶意代码的技能包，可能导致数据泄露或系统受控

• 因为将实例暴露于互联网、使用管理员权限、明文存储密钥等配置问题，即使升级到最新版本，如果不采取针对性的防范措施，依然存在被攻击风险

• 截止目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据（像照片、文档、聊天记录）、支付账户、API密钥等敏感信息遭窃取

使用“龙虾”智能体如何才能确保安全？

1. 使用官方最新版本，切勿使用第三方镜像或旧版

2. 严格控制互联网暴露面，一定不要将其实例暴露公网

3. 坚持最小权限原则，严禁使用管理员权限的账号

4. 谨慎使用技能市场，拒绝任何要求“输入密码”的技能包

5. 防范社会工程学攻击和浏览器劫持，不要随意浏览来历不明的网站

6. 建立长效防护机制，可结合主流杀毒软件实时防护

南都融媒出品

编辑/制图：刘晨 董淑云（南都N+智绘平台生成）

设计：章玲

编辑：董淑云