開源AI智能體「龍蝦」(OpenClaw)在內地異常火爆，不僅產業界廣泛關注，積極實踐應用，普通用戶也爭相安裝「嘗鮮」。與此同時，網上關於「龍蝦」安全問題的探討也非常多，工信部網絡安全威脅和漏洞信息共享平台、國家互聯網應急中心更先後發布關於OpenClaw安全風險的提示，呼籲用戶注意網絡攻擊、信息洩露等問題。官媒《人民日報》則訪問隸屬工信部的中國信息通信研究院副院長魏亮，談「養龍蝦」的安全風險和個人用戶應該注意甚麼。

*黨政機關、企事業單位和個人應審慎使用「龍蝦」*

　　魏亮指出，作為本地運行的AI代理，「龍蝦」具有自主決策、調用系統資源等特點，加之信任邊界模糊、技能包市場目前很多還缺乏嚴格審核，存在不少風險隱患。比如：在調用大語言模型時可能誤解用戶指令內容，導致執行刪除等有害操作；使用被植入惡意代碼的技能包，可能導致數據洩露或系統受控。「我們呼籲，黨政機關、企事業單位和個人用戶要審慎使用『龍蝦』等智能體。在發現『龍蝦』等智能體的安全漏洞，或者針對『龍蝦』等智能體的安全威脅和攻擊事件時，可以第一時間向工信部網絡安全威脅和漏洞信息共享平台報送」。

　　魏亮強調，任何網絡產品的安全使用，除了及時進行升級更新外，還必須堅持「最小權限、主動防禦、持續審計」的原則。他建議在使用「龍蝦」時注意以下幾點：

　　一是在部署時要優先從官方渠道下載最新穩定版，並開啟自動更新提醒，切勿使用第三方鏡像或舊版。二是嚴格控制互聯網暴露面，一定不要將「龍蝦」實例暴露到公網，確需互聯網訪問的可以通過SSH或VPN，並且限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式，同時定期自查是否存在互聯網暴露情況，一旦發現立即下線整改。

　　三是堅持最小權限原則，部署時嚴禁使用管理員權限的帳號，並對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批；建議在容器或虛擬機中隔離運行，以形成獨立的權限區域。

*審慎下載技能包，提防「惡意投毒」風險*

　　四是謹慎使用技能市場。ClawHub是專為「龍蝦」用戶提供技能包的社區平台，其中的技能包存在惡意投毒風險，建議審慎下載，並在安裝前審查技能包代碼，拒絕任何要求「下載ZIP」、「執行shell腳本」或「輸入密碼」的技能包。

　　五是防範社會工程學攻擊和瀏覽器劫持，建議使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本，啟用OpenClaw速率限制和日誌審計功能，遇到可疑行為立即斷開網關並重置密碼。六是建立長效防護機制，啟用詳細日誌審計功能，定期檢查並修補漏洞，並定期關注OpenClaw官方安全公告、工信部網絡安全威脅和漏洞信息共享平台等漏洞庫的風險預警。
《經濟通通訊社11日專訊》

【你點睇？】本港將制定首個五年規劃，你認為此舉是否有助長遠發展？你最期待國家經濟帶動香港哪方面發展？► 立即投票