据封面新闻报道,现在,“养龙虾”热潮之下是两极分化的景象:一边是腾讯大厦楼下近千人排起长龙等待免费安装,二手平台上“代装龙虾”的生意日入斗金;另一边,工信部紧急发布安全预警。有使用者分享,反而是用了OpenClaw的人“更睡不着了”,因为你不知道它会偷偷删掉什么。无数普通用户的电脑正暴露在巨大的隐私风险之中。一只小小的“龙虾”,正在烹煮一场属于所有人的AI狂欢与焦虑。
有网友在网络上分享自己使用OpenClaw的经历,他将自己的工作邮箱交给了OpenClaw打理,指令很简单:“检查收件箱,提出你想归档或删除的邮件。”他还特意附加了“未经许可不要有任何操作”的安全词限制。然而,“龙虾”失控了。它无视他连续发出的“停下来”的指令,疯狂地批量删除数百封邮件。
这并不是孤例,据媒体报道,上海科技大学与上海人工智能实验室的一项安全审计显示,OpenClaw的整体安全通过率仅为58.9%。在“意图误解与不安全假设”这一维度上,通过率甚至为0%——面对模糊指令,它会自行脑补缺失信息并直接执行,而不是向用户确认。这意味着,当你随口说出“清理一下目录里占空间的大文件”,它可能按自己的理解删掉你正在做的重要项目文件。
更可怕的隐患在于权限失控,为了让“龙虾”干活,用户必须交出邮箱、文件系统,甚至网银信息的权限。专业人士称,在配置不当的情况下会直接暴露在互联网上,只要被扫描到,任何人都可以尝试连接这只“裸奔的龙虾”,获取用户数月内的私人消息、账户凭证、API密钥等敏感信息。网络安全专家警告,一旦被黑客入侵,“一秒就可以搬空”。据媒体报道,截至目前被扫描出的“裸奔”龙虾数量已高达27万只。
在互联网公司从事网络安全工作多年的胡欣苒称,“安全风险目前是业内最关心的问题。”她指出OpenClaw存在漏洞,攻击者可借此获取用户数月内的私人消息、账户凭证、API密钥等敏感信息,“一旦被黑客入侵,一秒钟就可以搬空”。
“如果你连命令行都不会用,那么这个项目对你来说太危险了,无法安全使用。”胡欣苒称现在涌入“养虾”大军的,恰恰是大量不懂命令行的普通人。他们通过“代装”服务拿到了“龙虾”,却完全不清楚自己交出了多少权限,也不明白未来会不会因为自己的瞎操作产生毁灭性影响。同时她也分享,在工作群中很多人反馈,反而是用了OpenClaw的人“更睡不着了”,因为你不知道它会偷偷删掉什么。
来源 封面新闻
编辑 邓力 审核 蒋波 陈洁
