中國多家科技巨頭布局 工信部：「養龍蝦」須「六要六不要」

AI代理OpenClaw（暱稱「龍蝦」）近來在中國引發熱潮，多家科技巨頭包含騰訊、華為、字節、阿里也布局推出相關產品；然而官方也連日提醒相關資安風險，工業和信息化部（工信部）11日晚間也發布關於防範OpenClaw開源智能體安全風險的「六要六不要」建議。

據媒體報導，騰訊日前宣布全系列「龍蝦」產品，也上線WorkBuddy、QClaw兩款供個人用戶程式；華為也宣布推出基於鴻蒙系統的小藝Claw。字節跳動、阿里巴巴等也已加入這場競賽。

騰訊執行長馬化騰11日在朋友圈轉發相關消息時稱，騰訊已構建涵蓋「自研龍蝦、本地蝦、雲端蝦、企業蝦、雲桌面蝦，安全隔離蝦房、雲保安、知識庫」等在內的完整產品矩陣，並預告「還有一批產品陸續趕來」。

工信部11日晚發布有關防範代理式人工智能OpenClaw（龍蝦）安全風險的六條建議，要求使用者做到 「六要六不要」，包括嚴控互聯網暴露面、堅持最小權限原則等。目前國企、銀行和部分大學院校已宣布禁止使用OpenClaw。

據央視新聞，工業和信息化部網絡安全威脅和漏洞信息共享平台11日發布關於防範OpenClaw開源智能體安全風險的「六要六不要」建議。

第一，建議使用官方最新版本，並開啟自動更新提醒；在升級前備份數據，升級後重啟服務並驗證補丁是否生效。不要使用第三方鏡像版本或歷史版本；

第二，要嚴格控制網路暴露面。工信部建議，用戶要定期自查是否存在網路暴露情況，一旦發現立即下線整改。不要將「龍蝦」AI代理實例暴露到網路，確需網路訪問的可以使用SSH等加密通道，並限制訪問源地址，使用強密碼或證書、硬體密鑰等認證方式；

第三，堅持最小權限原則。要根據業務需要授予完成任務必需的最小權限，對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批。優先考慮在容器或虛擬機中隔離運行，形成獨立的權限區域。工信部提醒，不要在部署OpenClaw時使用管理員權限帳號；

第四，謹慎使用技能市場，審慎下載ClawHub「技能包」，並在安裝前審查技能包代碼。不要使用要求「下載ZIP」、「執行shell腳本」或「輸入密碼」的技能包；

第五，防範社會工程學攻擊和瀏覽器被劫持。要使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本，啟用日誌審計功能，遇到可疑行為立即斷開網關併重置密碼。不要瀏覽來歷不明的網站、點擊陌生的網頁鏈接、讀取不可信文檔；

第六，建立長效防護機制。要定期檢查並修補漏洞，及時相關風險預警。中共黨政機關、企事業單位和個人用戶可以結合網路安全防護工具、主流殺毒軟件進行實時防護，及時處置可能存在的安全風險。不要禁用詳細日誌審計功能。

OpenClaw能部署在用戶的個人電腦、手機和雲服務器上，整合調用不同大語言模型和應用軟件。只要發佈語音指令，就能自主執行文件管理和數據彙總等任務。

工信部早在2月5日已發布安全風險的預警提示，指OpenClaw可能因指令誘導、配置缺陷或被惡意接管，執行越權操作，造成信息洩露、系統受控。國家互聯網應急中心星期二（10日）也提示OpenClaw默認的安全配置極為脆弱，攻擊者一旦發現突破口，便能輕易獲取系統的控制權。

另據澎湃新聞，由於對數據安全的擔憂，珠海科技學院3月10日通知，嚴禁全校教職工在任何辦公設備、教學終端及校園網路環境下（含VPN遠程連接終端），安裝、運行、使用OpenClaw軟件本體、衍生版本、配套插件及第三方技能腳本；要求已安裝相關程序的立即徹底卸載，並清除全部配置、緩存及日誌文件。

安徽師範大學、江蘇師範大學等大學也在近日發布通知，提醒師生認清「龍蝦」AI智能體的安全隱患。