荆楚评论：狂飙的“龙虾”亟需装上“安全之钳”

近日，一款名为OpenClaw的开源AI智能体工具在互联网上掀起了一股“养龙虾”的热潮。其图标为一只红色龙虾，因而被网友亲切地称为“龙虾”。通过整合调用大语言模型，它能在用户电脑上自主执行文件管理、邮件收发等复杂任务，标志着AI从“对话式交互”向“行动式交互”的关键跨越。然而，这股技术狂潮在带来效率革命的同时，也因其频发的安全事件引发了公众深深的忧虑，官方机构更是接连发布风险提示。这提醒我们，面对狂奔的AI技术，必须系好“安全带”。

“龙虾”的爆火并非空穴来风。它打破了传统AI“只说不做”的局限，让个人也能以低成本构建专属的自动化工作流，成为融入工作流的“数字员工”。从多家企业官宣推出“龙虾”模型，到部分地区将其应用到政务服务场景，无不印证着其巨大的应用潜力。然而，就在用户热情高涨之际，“第一批养虾人已经开始卸载了”的话题却登上热搜。有报道称，有网友将工作邮箱交给OpenClaw打理并明令“未经许可不要有任何操作”，结果“龙虾”却无视“停下来”的指令，疯狂删除了数百封邮件。更有程序员因API密钥被盗，在凌晨收到了高达1.2万元的Token账单。这些触目惊心的案例，撕开了“龙虾”光鲜外表下的安全黑洞。

“龙虾”带来的风险是系统性的。首先，其技术本身存在脆弱性。攻击者可利用这些漏洞在未授权状态下获取敏感数据、提升权限甚至远程执行代码。其次，其默认的高权限运行模式与模糊的信任边界，使其极易被恶意利用。攻击者能通过“提示词注入”诱导AI执行越权操作，技能包市场目前缺乏严格的安全审核，内部潜藏着诸多隐患。中国信息通信研究院专家明确指出，即便更新到最新版本，若不采取针对性的防范措施，依然难以抵御外部攻击。

面对这一严峻态势，国家监管部门已迅速行动。继2月5日工业和信息化部网络安全威胁和漏洞信息共享平台首次发布风险预警后，3月10日，国家互联网应急中心再次发布关于OpenClaw安全应用的风险提示。3月11日，工信部更是组织力量研究提出了针对性的“六要六不要”安全建议，从使用官方版本、控制互联网暴露面、坚持最小权限原则到防范社会工程学攻击等，为用户提供了一份详尽的安全操作指南。这体现了监管部门对新生技术风险的前瞻性与负责任态度。

“龙虾”的火热，是AI技术深化应用的缩影，它让我们看到了人机协作的无限可能。但技术越强大，其背后的责任与安全底线也越重要。对于党政机关、企事业单位和个人用户而言，专家的呼吁值得铭记，审慎使用“龙虾”等智能体。在享受技术红利的同时，我们必须时刻保持理性，不盲目跟风，严格遵循安全配置规范，为这辆狂飙的智能跑车装上可靠的“安全之钳”，确保技术真正服务于人，而非带来不可控的风险。毕竟，真正的智能，不仅在于会“做事”，更在于懂“安全”。

稿源：荆楚网（湖北日报网）

作者：魏文婷（武汉市武昌区“昌言家”团队、杨园街道办事处）

责编：李燕