近日,众多媒体如新华网、央视网、IT之家等,密集报道国家互联网应急中心与其他机构联合发布的《OpenClaw 安全使用实践指南》。
众所周知,OpenClaw 在国内掀起了一股“养龙虾”的风潮。不仅技术爱好者纷纷在自己的电脑上部署,阿里云、腾讯云等云服务商第一时间推出了在云服务器上一键部署的镜像,部分企业推出基于 OpenClaw 的定制产品。
然而 OpenClaw 作为 Agentic AI(代理型 AI),不仅能理解目标、规划步骤、调用工具,还能自动执行操作。这就意味着,它需要极高的系统权限,并带来两个巨大的风险:
- 超出用户预期的危险行为。AI 操作速度快,用户不可能监控其每一个动作,OpenClaw 可能会因为指令注入等主动提交用户的关键信息,例如银行卡、身份证以及 AI 大模型的 API Key 等。
- 主机被恶意入侵控制。OpenClaw 在正常情况下是可以帮助用户自动完成工作的助理,可一旦被恶意控制,其身份会瞬间转换成超级木马,使主机成为黑客的肉鸡。
《指南》从环境和网络隔离、权限和插件管理等方面,给普通用户、企业用户、云服务商及技术开发者/爱好者提出详细的防护建议。如果能够遵从这些建议,“养龙虾”的风险将尽可能降低。
国家互联网应急中心等机构发布《OpenClaw 安全使用实践指南》,侧面证明了国家对这项技术的肯定,以及对相关产业的支持。但是——
耕读君发现众多媒体在报道时并未标注消息源,在国家互联网应急中心的官网上也没有查询到这篇《指南》,在其官网上只找到一篇《关于OpenClaw安全应用的风险提示》。后来经过查找,耕读君发现这篇《指南》发布于国家互联网应急中心的微信公众号上。
这是否意味着什么?
事实上,这并非漏发了。不同渠道在承担不同职能,公众号在“传播层”更强,而官网在“权威归档层”仍不可替代。
在微信公众号上发布实践指南,是为了让普通用户、企业、开发者都能看懂并执行。“风险提示”必须放官网,因为它属于正式安全通告。这篇“实践指南”还不够“标准化”,它只是建议的集合,如果放在官网上会被当成行业标准或官方规范,引起不必要的误解。
