傳內地禁銀行國企養「龍蝦」
使用OpenClaw須授最高權限 存在巨大風險
針對近期掀起開源人工智能代理(AI Agent)OpenClaw(俗稱龍蝦)熱潮,國家互聯網應急中心發布風險提示,指出為實現自主執行任務能力,須授予OpenClaw高權限,由於其默認安全配置極脆弱,容易被黑客攻擊入侵,而早期的不當安裝及使用已出現嚴重安全風險。外電引述知情人士指,包括大型銀行在內的國企和政府機關已收到通知,限制在辦公電腦設備和環境部署OpenClaw,凡已安裝相關應用亦需立即停用,並安排刪除或上報進行安全核查。
養「龍蝦」成為近期內地社交媒體熱門話題。騰訊(0700)上周五(6日)在深圳舉辦免費現場代裝OpenClaw活動,聯想集團(0992)隨後在美團(3690)應用上售賣代裝OpenClaw服務。部分地方政府也跟上潮流,為免費提供OpenClaw部署服務的平台予以補貼。
ClawHub存惡意投毒風險
大模型公司MiniMax(0100)作為OpenClaw最直接概念股,今年2月26日上線基於OpenClaw構建的雲端AI助手「MaxClaw」,主打「開箱即用、無需本地部署、內置工具免額外API費用」,3月9日又將Speech語音模型與Music音樂模型深度封裝後正式上架OpenClaw生態。
正當地方政府與科技公司聯手推動「龍蝦」,中國信息通信研究院副院長魏亮日前接受《人民日報》採訪時表示,「龍蝦」具有自主決策、調用系統資源等特點,疊加其信任邊界模糊、部分技能缺乏嚴格審核,存在不少風險隱患。「我們呼籲黨政機關、企事業單位和個人用戶要審慎使用『龍蝦』等智能體」。ClawHub是專為「龍蝦」智能體用戶提供技能包的社區平台,其中技能包存在惡意投毒風險,建議審慎下載。
彭博社昨亦引述知情人士指,內地大型國有銀行和一些政府部門,完全禁止員工在辦公電腦上,以及使用公司網絡的個人手機上安裝這工具。軍隊家屬同樣受相關限制,但有部分機構允許經報備批准後安裝OpenClaw。
部分券商亦要求員工即時暫停安裝使用,已安裝亦要立即卸載,個人電腦接入公司網絡須落實防控。業內人士預測,未來兩天將有更多券商發布相關合規提醒。
「權限黑洞」或成監管致命傷
OpenClaw的核心特點在於其強大「執行能力」,可以在接收指令後,自動執行任務。故使用其程式的用戶,必須對其授予電腦「最高操作權限」,OpenClaw會直接操控電腦內的檔案、瀏覽器及程式碼編輯器,並具長期記憶功能,也隨使用時間學習用戶習慣,還支援跨平台接收指令。
更有指OpenClaw會在「必要」時以各種手法突破限制,未經用戶同意越權工作。這個「權限黑洞」正是監管機構最擔憂的致命傷。一旦程式碼出現漏洞或被惡意利用,黑客就能輕易接管整部電腦,對講求網絡安全的企業或機構絕對是巨大風險。
