3月,一只“龙虾”OpenClaw火了,龙虾的出现也意味着AI从“对话者”升级为拥有系统最高权限的“执行者”。

当“龙虾”的风吹到国内,国产版龙虾纷纷面世,从腾讯、百度、阿里,再到智谱、MINIMAX和手机厂商们,均参与这场养“龙虾”的热潮中。

龙虾虽然热,与此同时,其安全风险也成为了很多人担心的问题。近日,随着养“龙虾”的爆火,也发生了安全问题事件,例如Meta的AI安全专家Summer Yue将OpenClaw接入工作邮箱后,AI当场失控,无视她连续三次“停止”指令,疯狂删除了数百封邮件。

有开发者让AI分析网页接口,由于指令模糊,AI理解为需要研究API作用,直接调用了删除接口,把评论平台上的内容全部清光。

3月10日,国家互联网应急中心发布关于 OpenClaw安全应用的风险提示。提示指出,为实现“自主执行任务”的能力,OpenClaw被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。

风险提示称,前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险,包括“提示词注入”风险、“误操作”风险、功能插件(skills)投毒风险、安全漏洞风险等。

3月11日晚间,工业和信息化部网络安全威胁和漏洞信息共享平台(以下简称“平台”)发布关于防范OpenClaw开源智能体安全风险的“六要六不要”建议,由平台组织智能体提供商、漏洞收集平台运营单位、网络安全企业等研究提出。

有业内人士表示,决定风险大小的关键,不只在技术,还在组织使用方式。如果个人用户把OpenClaw直接连接核心邮箱、网银、代码仓库和客户数据库,风险会被放大;如果企业把它限定在隔离环境、只开放白名单工具、设置人工确认阈值并保留审计日志,风险就会显著下降。

奇安信安全专家汪列军表示,OpenClaw的热度持续攀升,其引发的养“龙虾”热潮,已从AI圈层扩散至全民大众。然而这股技术狂欢的背后,也导致安全事件频频爆发,这主要归因于OpenClaw极大加速了AI向“超人化”演进的脚步。具体风险集中权限失控与“越狱”风险;来自Skill供应链风险;公网暴露与远程入侵风险;数据隐私泄露的风险四方面。

随着国产版龙虾的纷纷上线,各个企业已经针对养“龙虾”安全问题做出了相应的措施。3月12日,腾讯推出了OpenClaw安全工具箱,为企业和个人用户提供安全保障。该体系覆盖云原生、企业内网与个人PC三大场景:依托腾讯云技术实现环境隔离与统一监控;借力腾讯iOA筑牢办公网络安全屏障;并借助腾讯电脑管家为普通用户提供一键式隔离保护。

此外,腾讯还将一些安全能力封装成AI Skills,上架ClawHub、SkillHub社区,用户通过对话就能让“龙虾”实现自我防护。

腾讯云安全总经理苏建东在接受《晚点LatePost》采访时表示,我们现在做的,不只是给内部产品,比如 WorkBuddy、QClaw 做安全集成,也能给第三方的 OpenClaw 提供同样的安全方案。整体上是在主机、网络、供应链这些层面一起做。比如主机安全这块,已经有专门的 AI agent 安全中心,去检查这类产品的漏洞和不安全配置,对明文密码进行加密保护,防止恶意高危操作;网络上,防范提示词注入等攻击,检查并防止敏感数据泄露;供应链这块,则会对恶意 skills(技能)做准入和安全检测。

不只是腾讯,百度、火山引擎、智谱等多家厂商在发布国产龙虾产品的同时,同步匹配安全防护动作,

一方面是国产版“龙虾”的纷纷推出,另一方面则是对于养虾的安全问题上各家也在逐步推出解决方案。上述业内人士表示,目前看养“龙虾”的风险总体可控,但“可控”不等于“短期内可以面向所有人无差别放开”。从工程治理角度看,公网暴露、明文凭证、插件来源不明、权限过大、缺少日志审计等问题,都属于可通过安全加固显著降低的风险。

随着AI智能体的发展,保障个人隐私问题也成为大众关注的焦点,AI智能体通过手机高级权限访问互联网平台是否会带来隐私安全?是否要经过个人、平台的双重授权这些问题都需要逐步落地。

不过近日海外也对类似行为做出法律层面的约束。当地时间3月9日,美国加州法院作出裁定,要求初创公司Perplexity AI旗下智能体产品停止访问亚马逊网站,禁止创建或接管任何亚马逊账户,销毁所有已获取的数据。据悉,该公司旗下智能体Comet伪装成Google Chrome浏览器,绕过亚马逊对自动化工具的检测,且在用户不知情的情况下将其购物数据传回Perplexity的服务器。去年11月,亚马逊将对方公司告上法庭。

最新进展的这个“暂时禁令”,虽然不是最终判决,但代表了此案法官对用户和被操作平台“双重授权”表示认可和尊重的倾向性。法院特别引用了一起标志性旧案——2009 年 Facebook 起诉聚合网站 Power.com 的案件。该判决指出,即使用户同意,一旦平台明确撤销授权并发出停止通知,第三方继续访问仍构成“未经授权访问”。

因此,法院要求Perplexity暂时停止替用户登录亚马逊会员账号,并销毁所有已获得的亚马逊数据。Perplexity已提出上诉。

双方还是围绕双重授权的争议点展开,虽然目前此案还没有明确定论,但是AI智能体要想融入的普通人的生活和工作中,双重授权也成为了绕不开的话题。

随着越来越多的AI智能体代替用户做执行层面事情,保障用户隐私安全也成为了重中之重。

综合自财联社、21世纪经济报道、《晚点LatePost》等