近期，开源AI智能体“龙虾”异常火爆，受到国内产业界和广大用户的广泛关注。互联网上针对“龙虾”智能体安全的探讨也非常多，工业和信息化部网络安全威胁和漏洞信息共享平台也发布过相关的安全风险提示。

中国信息通信研究院副院长魏亮表示，“龙虾”是开源AI智能体OpenClaw的别称，因其图标为红色龙虾而得名。它通过整合调用通信软件和大语言模型，在用户本地电脑自主执行文件管理、邮件收发、数据处理等复杂任务。“龙虾”出现后，推动了我国AI智能体生态的繁荣，但其强大的执行能力也给用户带来了严峻的安全挑战。近期，工信部网络安全威胁和漏洞信息共享平台发布了关于防范OpenClaw开源AI智能体安全风险的预警提示，并给出了一些防范建议。

尽管“龙虾”智能体更新迭代迅速，通过更新到官方最新版本可以修复已知的安全漏洞，但这并不意味着完全消除安全风险。作为本地运行的AI代理，“龙虾”具有自主决策、调用系统资源等特点，加之信任边界模糊、技能包市场缺乏严格审核等问题，存在不少风险隐患。例如，在调用大语言模型时可能误解用户指令内容，导致执行删除等有害操作；使用被植入恶意代码的技能包可能导致数据泄露或系统受控；配置问题如将实例暴露于互联网、使用管理员权限、明文存储密钥等也会带来风险。因此，网络安全是动态的，黑客攻击手法也在不断迭代，不能仅依赖“打补丁”和“升版本”来保障安全。

党政机关、企事业单位和个人用户应审慎使用“龙虾”等智能体。在发现“龙虾”等智能体的安全漏洞或安全威胁和攻击事件时，应及时向工信部网络安全威胁和漏洞信息共享平台报送，以便及时处置，维护网络安全，保障用户权益。

在使用“龙虾”智能体的过程中，除了及时进行升级更新外，还必须坚持“最小权限、主动防御、持续审计”的原则。具体建议包括：使用官方最新版本，从官方渠道下载并开启自动更新提醒；严格控制互联网暴露面，避免将实例暴露到公网；坚持最小权限原则，只授予完成任务必需的最小权限；谨慎使用技能市场，审慎下载并审查技能包代码；防范社会工程学攻击和浏览器劫持，启用详细日志审计功能，定期检查并修补漏洞。广大用户在使用“龙虾”等AI智能体时，一定要把安全底线把握在自己手中，详细了解并落实安全配置规范要求，养成安全使用习惯。相关部门也会持续做好安全监测，及时预警相关安全风险，提供必要的技术支持。