最近网上出现了一个热词,那就是很多人在搜的“养龙虾”。
其实这个“养龙虾”,并不是我们餐桌上的美味小龙虾,而只是一款名为OPenCIaw的AI智能剃工具,这款工具可以为用户“24小时自动办公”,非常方便和适用,因此被网友称为“数字同事”。
由于它的标志是一只红色龙虾,网友便戏称为“养龙虾”,也得到了广大网友的追捧,成为一款全民跟风的科技热潮。
这股热潮才过去几天,网上就传出“第一批养虾人”已沦为受害者的说法。原因是这只“虾”乱删除邮件,还泄露隐私,甚至让用户承担天价账单等问题。
因此工信部和国家互联网应急中心接连发布安全预警,在二手平台更是火速出现付费卸载任务。
我们都知道,现在坐在办公室里工作的网友,需要依靠双手操作互联网来进行各种工作,往往因为事务太多,总觉得手不够用。
现在好了,这款能“解放双手”的智能工具迅速就迅速走红,国内主流云平台纷纷推出一键部署服务,二手平台甚至还传出上门安装服务一个月就达到收入26万元。
所以很多普通用户也跟着这股潮流纷纷入局,就是想搭上这次的AI效率快车。
毕竟能省事谁不想,能让自己工作更轻松,每个人都想。可是却没有想过,在这背后所隐藏的隐患会带来什么?毕竟是人设计出来的工具,再效能也可能有弊端。
这不,根据报道就可以看到首批用户的“踩坑”经历还真让人有点后怕。
比如有网友说,自己将工作邮箱交给OPenCIaw来打理,满以为这是把工作交给自己的得力管家一样,明确要求“未经许可不了操作”,结果AI根本无视这个“停下来”的指令,封建删除数百封重要邮件。
还有深圳的一名程序员网友的经历更离谱,安装才三天,就因为API密钥被盗,凌晨就收到1.2万元的Token天价账单,黑客利用工具的高权限在后台疯狂调用模型,让这位程序员在不知情的情况下背负巨额债务。
此外,隐私泄露和设备被控制等各种问题也频繁出现,使得爆火的“养龙虾”从效率神器一下子变成了“数字陷阱”。
3月10日,国家互联网应急中心发布,OPenCIaw安全应用风险提示,明确指出这款工具存在四大严重安全风险:
一,提示词注入风险,攻击者可通过网页隐藏恶意指令,诱导工具泄露系统密钥。
二,误操作风险。毕竟是AI,它在判断上容易误解指令,然后会导致邮件、核心数据被彻底删除。
三,功能插件投毒风险。恶意插件可窃取密钥,部署木马,让设备沦为“肉鸡”。
四,安全漏洞风险。从报道中可以看到,已经有多个高中危漏洞曝光,被利用后会导致系统被控、敏感数据泄露。
早在2月5号,工信部网络安全威胁和漏洞信息共享平台就已监测到,OPenCIaw默认或者不当配置下存在很高的安全风险,容易引起网络攻击和信息泄露。
在官方的预警下,目前很多用户开始选择“弃养龙虾”了,这真是安装一阵风,弃养也是一阵风。
于是二手交易平台迅速出现“代卸载”的生意,说是生意还非常好,也不知道是不是真的。
3月10日起,多名商家上架OPenCIaw卸载服务。据说上海的一位商家自称“主打安全彻底、无残留”,报价仅上海上门卸载收费299元,如果远程卸载则是199元。
当然,什么行业都会卷,于是也有商家推出远程卸更便宜,80元、90元都可以通过远程卸载。
不得不说真是此一时彼一时,一个礼拜前“抢着花钱安装”,一个礼拜后又“排队付费卸载”,你说这叫什么事儿。
从奇安新数据可以看到,目前暴露在公网的OPenCIaw案例超过20万,大量存在弱口令、未授权访问漏洞,随时可能被攻击。
所以为了应对这次AI风险,国家互联网应急中心给出四大安全建议:
一,强化网络控制,要求用户不要把端口暴露在公网,
三,严格插件来源,仅从可信渠道安装。这就跟手机安装软件一样,选择可信正规的来源下载安装。
四,及时更新补丁和版本。
热门跟贴