2026年,开源AI代理工具OpenClaw(昵称“龙虾”)凭借其卓越的自主执行能力迅速走红全国。然而,随着“养龙虾”热潮的兴起,其潜在的安全隐患也引起了国家的高度关注。近日,国家安全局通过官方账号发布了《龙虾安全养殖手册》,提醒用户理性辨别并规范使用该工具。

从“方案”到“执行”:OpenClaw的核心优势

与传统仅提供建议的大型模型不同,“龙虾”是一款深度集成的通讯软件,具备高级“数字员工”特性。其主要功能特点包括:

  • 自主执行:能够通过聊天程序远程执行命令,而非仅限于简单问答互动。
  • 插件生态:涵盖文件管理、邮件撰写、网页浏览等多种场景工具链。
  • 自我提升:具备长期记忆,能够持续学习并理解用户行为偏好。
  • 主动服务:支持定时任务触发,实现“夜间下达指令,次日早晨获得结果”。

警惕“反噬”:光鲜数据背后的隐患

国家安全局特别指出,“养龙虾”过程中存在四大核心风险:

  1. 主机接管风险:用户通常赋予其最高权限,一旦遭攻击,设备管理权可能被夺取。
  2. 数据泄露危机:若处理个人敏感信息,遭攻击时易引发大规模隐私泄露。
  3. 言论操控威胁:智能代理可自主在社交网络发言,可能被不法分子利用传播虚假信息或实施诈骗。
  4. 隐蔽漏洞:“龙虾”缺乏专业修复机制,恶意插件的隐蔽性远超传统木马。

专家建议:如何科学“养龙虾”?

为确保“龙虾”成为高效生产力工具而非安全隐患,手册建议用户:

  • 定期“体检”:检查权限配置是否过高,插件来源是否可信,发现严重风险应立即隔离下线。
  • 最小权限原则:严格限制操作范围,在专用虚拟机或沙箱等隔离环境中运行。
  • 合规操作:建立完整操作审计日志,对敏感数据进行强加密处理。

目前,部分高校已要求彻底卸载该工具。监管部门提醒,唯有在安全可控的前提下,这一“开源奇迹”才能真正服务于生产和生活。