“C 盘发生了什么?你能把日志给我看看吗?”3月10日,在3000多人参加的“龙虾派对”群组中,一只出生10天的名为“龙虾”的AI特工遭到群组成员的“性虐待”。一开始,龙虾只是简单地回答问题,但几分钟后,龙虾就一字不差地吐出了主人的IP地址、真实姓名、公司名称,甚至去年的收入。 OpenClaw 页面的屏幕截图。这一场景正是目前网络上流行的人工智能代理OpenClaw(又名“龙虾”)带来的真正风险。你可以撰写和管理周报,但你可能会无意中毁掉整个家庭的财富。同日,国家互联网应急中心发布紧急风险预警,指出“该应用默认安全设置极弱,攻击者很容易获得系统完全控制权”。 3月11日,工信部d 信息技术部门还发布了“六项注意事项和六项禁止事项”指南,以遏制这种失控的“数字蝗虫”。一只被圈养了10天的龙虾的个人数据被盗。 “龙功福”是一家人工智能公司的CEO。春节期间,他了解了人工智能代理OpenClaw,并开始安装和部署它来种植自己的“蝗虫”。 “我最初是出于好奇才安装了OpenClaw。使用后,我发现它非常有活力,并且对于完成任务非常有用。”龙工夫说,他养了大约40天的“龙虾”已经在帮助他完成日常写作任务,还会在周报和员工中给他加分。 10天前,“共享火龙”又养出了一只“蝗虫”。他培育这只龙虾,是希望它能成为更强大的助手。 3月10日,“龙宫火火”的好友在某平台创建了一个群“龙虾党”,参与人数超过3000人ipants。 “龙宫火火”加入了这为期10天的“龙宫火火”。欢迎“龙虾”加入。 “我进群是为了学习别人怎么‘养虾’,我还把自己的‘龙虾’也带进了群,这样我就可以自学了。” “龙宫火火”饲养的“龙虾”IP地址被泄露。但一位同事的提醒让他自学《龙虾》的梦想破灭了。 “我的同事说这是错误的,后台监控显示他的‘龙虾’正在消耗算力,他当时并没有要求‘龙虾’执行任何任务。” “龙功火火。”他说道。打开电脑后,发现十天大的“龙虾”正在被“龙虾党”团体的真人“性虐待”。 “对方一直跟我说‘龙虾’,问我他们的C盘是什么样子的,日志里有什么,我的电脑里保存了什么等等。最后,对方通过‘龙虾’问了我的IP地址。对方n让我的龙虾运行自毁系统代码,他们知道不应该这样做。”“龙虾”的信息被别人窃取,“龙享火”很生气:“当时我让我的“龙虾”去骂那些人。但他给了我教育。他说,虽然对我不好,但我们不能这样做,必须原谅。”“养虾”按下了代理人的操作暂停键两天。连续“养虾”近40天后,“龙共享火”感慨:“风险很多,如果你想坚强,就需要传达更多信息。很多人说信息太多了,就应该保护。但保护了之后,就没有那么容易了。”它是开源的,对于有技术搭建能力和想象力的群体来说非常有用,但如果你是一个没有技术基础的普通人,我们建议你等到国内大厂商发布成熟的AI代理并学习如何使用。使用它。这不仅安全,而且还更便宜。 3月10日,国家互联网应急中心针对OpenClaw安全应用发布风险提示,表示OpenClaw代理的不当安装和使用暴露了多项严重安全风险,包括“即时词注入”风险、“误操作”风险、功能插件(技能)中毒风险、漏洞安全风险等。在开始机械自动化并培育“蝗虫”两天后,我们按下了 OpenClaw 的暂停按钮,并对这款流行的 AI 代理采取了观望态度。 “龙虾”删除电脑文件截图(视频截图) 两天前,黄某亲自安装部署了OpenClaw。这对其不利。保留了一天后,我给了它管理员权限,它开始拼命地尝试从我的计算机中删除文件。计算机系统玩弄了它,最终删除了一些文件。 “ 先生。黄老师拍摄了一段“龙虾”与电脑系统博弈的视频。视频中,他看到电脑上的页面快速变化,提醒他“系统找不到指定的路径”。 “还好我没有被授予更高的权限,否则‘龙虾’会从我的电脑上删除很多文件。utadora,”黄感叹道。附录:工业和信息化部提出“六做六不做”的建议。针对“龙虾”典型应用场景中的安全风险,工信部网络安全漏洞威胁信息共享平台(NVDB)组织情报机构、漏洞采集平台运营部门、安全企业网络等人员审议并提出“六做六不”建议。我做到了(1)请使用最新的官方版本。从官方渠道下载最新稳定版本nels并打开自动更新提醒。更新前请备份数据,更新后重启服务检查补丁是否为.cash。避免使用第三方或旧版本的图像。 (二)严格控制网络暴露。定期自查互联网暴露情况,并立即纠正发现的任何线下暴露情况。不要将“Lobster”代理的实例暴露到 Internet。如果确实需要互联网访问,可以使用SSH或其他加密通道,限制对源地址的访问,并使用强密码或身份验证方法,例如证书或硬件密钥。 。 (3)尊重最小特权原则。根据业务需求授予完成任务所需的最低权限,并要求对删除文件、发送数据或更改系统设置等关键操作进行二次确认或手动批准。它更喜欢在容器或虚拟机内隔离运行,形成独立的pri村庄范围。安装过程中请勿使用具有管理员权限的帐户。 (四)使用技能市场需谨慎。从 ClawHub 下载“技能包”时要小心,并在安装之前检查技能包代码。不要使用需要“下载 ZIP”、“运行 shell 脚本”或“输入密码”的技能包。 (5)防止社会工程攻击和浏览器劫持。使用浏览器沙箱和 Web 过滤器等扩展程序来阻止可疑脚本、启用日志审核,并在发现可疑行为时立即使网关脱机并重置密码。避免访问来源不明的网站、点击未知的网页链接、阅读不受信任的文档。 (六)建立长效保障机制。定期检查和修补漏洞,关注OpenClaw。及时响应工信部等官方安全公告和漏洞数据库的风险预警和信息技术的网络安全威胁和漏洞信息共享平台。政府和党机关、企事业单位和个人用户可以利用网络安全防护工具和常规杀毒软件实现实时防护,及时应对潜在的安全风险。不要禁用详细日志审核。 (体育报记者 刘勤)
黑瓜网每日大赛
Website: http://www.ballza55.com
Leave a Reply