科技日报记者 杨雪
近日,如何安全“养虾”火热破圈,成为全社会公共议题。在开发时,为了看看Agent(智能体)的能动性天花板有多高,奥地利程序员给OpenClaw开放了最多的权限。然而,“龙虾”能实现的创造力和能动性越大,也意味着潜在的风险越大。
大量用户直接下载和使用的OpenClaw开源软件版本,已经曝出很多漏洞和安全事件。火山引擎云基础产品负责人田涛涛表示,OpenClaw在安全设计方面本身就有较大缺陷,从不受控地删除邮件数据,到开源社区存在的大量恶意skill,再到明文存储的记忆和凭证信息,开源版本本身就不是为更安全所设计的工具。
3月10日,国家互联网应急中心CNCERT也提示了养虾风险:为实现“自主执行任务”的能力,OpenClaw被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
“现在如果给它下达指令把root目录删掉,它真敢干,那这台电脑可就打不开了。如果让它把电脑密码修改为1111,它立刻生效,那么电脑就非常容易被入侵。”田涛涛说,这也是当下不建议在个人常用电脑或生产环境里部署OpenClaw的原因。
正如马斯克说的,把root权限交给AI,如同给猴子递上膛的枪。在火山引擎安全产品负责人刘森看来,“龙虾”就好比一个聪明、勤勉的数字员工,但它还不太懂工作中的操作规范和边界,“我们要做的就是把它当作员工一样管理起来,让它发挥该有的作用,同时不闯祸。”
本周,火山引擎推出ArkClaw,即在云上部署的OpenClaw。ArkClaw从源头上对安全养虾做了全链路设计。刘森认为,“养龙虾”跟普通人或者企业买一个软件有本质差别。它类似个人助手,或者企业的数字员工,会有很多不同于使用软件的攻击风险。
他表示,要按照“管理员工”的思路,控制住“龙虾”的权限,教育它不要泄露隐私,培养它不要被诱导攻击,避免它接触一些有害的环境等。比如在权限控制方面,每一个ArkClaw都会生成一个独一无二的身份,它每一次访问相关系统、消息时都会被校验权限,这样不管它是否违规,都有一道栅栏对它的所有行为进行管控治理。
这种全链路审计的好处还在于可追溯。“当发现一个不符合预期的行为时,比如它删除了数据库一条记录,我要知道到底是什么原因,是使用龙虾的人发出了一条明确指令要求它删除?还是因为龙虾被外部入侵攻击、被投毒导致它删除?还是它自己的正常操作,因为产生了模型幻觉?”刘森说。
此外,养虾的效率也非常关键,“云养虾”可以让“龙虾”敏捷迭代,而不必反复花时间重新安装新版本。田涛涛早在今年1月就在自己电脑上装过OpenClaw,但它是一个快速演进的产品,需要持续安装新版本,使用起来除了有较大风险,还要付出较多成本。相比起来,“云养虾”则提供了一个不断优化的应用。
“比如,针对token(词元)消耗多的问题,ArkClaw最新版已经内置LanceDB(向量数据库),可以帮用户节省30%以上的token,这些是本地部署‘龙虾’无法具备的,因为需要非常多领域的知识,系统、云、应用、软件、Token优化、上下文解析等等。”田涛涛说。
网友评论
