2026 年 3 月 17 日,国家安全部发布《“龙虾”(OpenClaw)安全养殖手册》,为当下火爆的开源 AI 智能体工具 “龙虾” 使用划出安全红线。这款能将自然语言指令转化为电脑操作、实现 “一句话让 AI 替你干活” 的工具,正从效率神器沦为安全隐患重灾区,手册直击四大核心风险,给出规范使用的 “养虾” 铁律。
“龙虾” 作为现象级开源 AI 智能体,凭借自主执行文件操作、数据处理、自动化办公等能力迅速走红,被不少用户视为高效 “数字员工”。但便捷背后,高权限运行、开源生态不可控、缺乏专业维护等特性,让其暗藏四大原生安全风险。一是主机接管风险,用户常赋予其最高系统权限,攻击者可远程操控设备、非法占用资源,甚至造成数据不可逆损失。二是数据窃取风险,用户将敏感信息交由 “龙虾” 处理,一旦系统被攻破,隐私、商业机密将直接泄露,引发财产与安全危机。三是言论篡改风险,“龙虾” 可自主在社交网络发声,被接管后易沦为传播虚假信息、实施网络诈骗的工具。四是技术漏洞风险,缺乏专业维护机制,恶意插件可诱导其突破权限管控,隐蔽窃取核心信息,危害远超传统木马。
针对这些风险,国安部手册明确三大 “养虾” 铁律,筑牢安全防线。首先要全面体检,正本清源,使用前排查控制界面是否暴露公网、权限配置是否过高、凭证是否泄露、插件来源是否可信,发现高风险立即隔离处置。其次要严控边界,做好防护,严格遵循最小权限原则,禁用管理员账号运行,敏感数据强制加密,在虚拟机、沙箱等隔离环境中使用,建立完整操作审计日志。最后要理性使用,明确定位,将 “龙虾” 视为合规工具而非娱乐宠物,不移交身份证、银行卡等核心敏感信息,避免过度依赖。
AI 智能体的普及是数字时代的必然趋势,但安全是技术应用的底线。国安部此次发布手册,既是对新兴技术风险的及时预警,也为用户规范使用提供了权威指引。广大 “养虾人” 需牢记安全铁律,在享受 AI 便利的同时,守好数字安全防线,让技术真正服务于生产生活,而非成为安全隐患的源头。