錢財事
開源人工智能體(AI Agent) OpenClaw﹙俗稱「龍蝦」﹚近期大熱,工信部網絡安全威脅和漏洞信息共享平台發布防範OpenClaw開源智能體安全風險的「六要六不要」建議。
OpenClaw官網
工信部提出四大典型應用場景安全風險 : 智能辦公場景主要存在供應鏈攻擊和企業內網滲透的突出風險 ; 開發運維場景主要存在系統設備敏感信息泄露和被劫持控制的突出風險 ; 個人助手場景主要存在個人信息被竊和敏感信息泄露的突出風險 ; 金融交易場景主要存在引發錯誤交易甚至賬戶被接管的突出風險。
工信部建議,要使用官方最新版本,不要使用第三方鏡像版本或歷史版本;嚴格控制互聯網暴露面,不要將「龍蝦」智能體實例暴露到互聯網;堅持最小權限原則,防範社會工程學攻擊和瀏覽器劫持,以及建立長效防護機制。
《彭博》昨天引述知情人士指出,包括大型銀行在內的國企和政府機關已收到通知,限制在辦公電腦設備和環境部署OpenClaw。已經安裝相關應用的須立即停用,並安排刪除或上報進行安全核查。
香港網絡安全事故協調中心提醒,OpenClaw近期崛起,成為備受矚目的開源AI代理平台,隨著普及程度不斷提升,相關網絡安全風險也日漸浮現。
中心表示,據報已有惡意攻擊者利用偽造的GitHub程式碼庫及Bing AI的搜尋結果,向搜尋OpenClaw Windows安裝程式的使用者,散播能夠竊取資訊的惡意軟體與代理型惡意軟體,建議使用者應優先透過官方網站、官方文件及官方儲存庫所提供的方式,進行下載與安裝。
中心又提醒,要警惕AI代理要求執行高風險操作,若代理人工智能要求下載外部工具、貼上終端機指令、安裝驅動、輸入系統密碼或關閉安全防護等高風險操作,務必先驗證這要求是否真實且必要,再行操作。
