政府籲採措施增「龍蝦」網安
有黑客散播惡意軟件 或致資料外洩風險
最近開源人工智能代理(AI Agent)OpenClaw(俗稱「龍蝦」)爆紅,深圳更出現上千人排隊免費安裝OpenClaw的壯觀場面,惟其安全風險亦引起關注,特區政府數字政策辦公室及香港網絡安全事故協調中心(HKCERT)分別發出警示,提醒相關單位和個人用戶在部署及應用OpenClaw時,須採取充足安全措施。
近日內地「養龍蝦熱」已演變成「移除潮」,皆因OpenClaw不單存在驚人的運作成本,也令用戶資料安全面臨巨大風險,促使內地官方私下向國企、政府機關、金融機構等發出風險提示,警告OpenClaw可能導致資料外洩、支付賬戶等被竊取,對金融等行業可能造成毀滅性打擊,故嚴禁未經許可在辦公網絡或業務系統安裝使用OpenClaw。
數字辦在回覆傳媒查詢指出,該辦公室一直持續監測人工智能(AI)最新發展趨勢,也關注到有關OpenClaw存在潛在風險,包括權限過高、數據洩露及系統安全等方面。建議用戶在應用OpenClaw時,要採取充足安全措施,包括強化網絡控制,對運行環境實施嚴格隔離,以降低權限過高的風險;加強憑證管理,避免將密鑰以明文形式儲存在環境變量中;嚴格管理插件來源,確保插件的可信性與安全性;持續關注官方發布的安全更新等。特區政府已制定一套全面的《政府資訊科技安全政策及指引》,各部門在安裝各類軟件前,必須開展風險評估。
HKCERT促盡快更新版本
香港網絡安全事故協調中心(HKCERT)亦提醒,AI代理平台風險已遠超出一般聊天式AI 工具。OpenClaw強大功能卻招致危機,惡意攻擊者可利用偽造的GitHub程式碼庫及Bing AI,向搜尋OpenClaw Windows安裝程式的使用者,散播惡意軟體與代理型惡意軟體,竊取資訊。HKCERT建議用戶可採取的措施,包括核實下載來源與安裝指引;盡快更新OpenClaw版本;審慎安裝第三方「技能」腳本;當代理要求執行高風險操作時保持警惕;把OpenClaw視為高權限自動化平台管理。
