针对“龙虾”(指OpenClaw这样的AI智能体或相关技术应用的俗称)更新后可能依然存在的安全风险,工信部专家的提示是非常重要且及时的。以下是对这一提示的详细解读:
中国信息通信研究院副院长 魏亮:目前,“龙虾”智能体更新迭代非常快,通过更新到官方最新版本,确实能修复已知安全漏洞,但并不意味着完全消除了安全风险。“龙虾”具有自主决策、调用系统资源等特点,加之信任边界模糊、技能包市场目前还缺乏严格审核,存在着不少安全隐患。
魏亮表示,OpenClaw在调用大语言模型时可能误解用户指令内容,导致执行删除等有害操作。使用被植入恶意代码的技能包,可能导致数据泄露或系统受控。即使升级到最新版本,如果不采取针对性的防范措施,依然存在被攻击风险。党政机关、企事业单位和个人用户要审慎使用“龙虾”等智能体。在发现“龙虾”等智能体的安全漏洞,或者针对“龙虾”等智能体的安全威胁和攻击事件时,可以第一时间向工业和信息化部网络安全威胁和漏洞信息共享平台报送,平台将按照《网络产品安全漏洞管理规定》要求,及时组织处置。安全使用“龙虾”智能体,除了及时进行升级更新外,还必须坚持“最小权限、主动防御、持续审计”的原则。
一、安全风险的存在性
技术漏洞:任何软件或系统在更新后都可能存在未被发现的技术漏洞。这些漏洞可能被恶意攻击者利用,从而对系统安全构成威胁。
数据泄露:AI智能体在处理用户数据时,如果安全措施不到位,可能导致用户数据的泄露。即使进行了更新,如果数据加密、访问控制等安全机制没有得到完善,数据泄露的风险依然存在。
恶意代码注入:攻击者可能通过诱使用户下载恶意软件或点击恶意链接等方式,将恶意代码注入到AI智能体中,从而控制或窃取用户信息。
二、安全风险的应对措施
加强安全测试:在更新后,应对AI智能体进行全面的安全测试,包括漏洞扫描、渗透测试等,以确保系统的安全性。
完善数据保护机制:加强数据加密、访问控制等安全机制,确保用户数据在传输、存储和处理过程中的安全性。
提高用户安全意识:通过宣传教育等方式,提高用户对AI智能体安全使用的认识,避免用户因操作不当而导致安全风险。
建立应急响应机制:制定完善的安全应急预案,一旦发生安全事件,能够迅速响应并妥善处理。
概括来说,尽管“龙虾”等AI智能体在更新后可能带来更多的功能和更好的用户体验,但安全风险依然不容忽视。工信部专家的提示提醒我们,在享受技术带来的便利的同时,也要时刻关注并应对可能存在的安全风险。