近日，一款名为OpenClaw的AI智能体工具（业内俗称“龙虾”）在技术领域与大众市场快速走红。作为新一代大模型驱动的自动化控制框架，它实现了人工智能从“问答交互”到“系统操作”的重要跨越，可直接代用户完成跨软件自动化任务。在带来高效便捷体验的同时，其高权限运行模式也伴随多重安全风险。工信部官方新媒体“工信微报”联合中国信息通信研究院人工智能所、国家工业信息安全发展研究中心人工智能所发布权威提示，强调人工智能技术应用必须筑牢安全防线。

　　传统人工智能工具以知识检索、文字生成、问答咨询为主要功能，而OpenClaw的核心突破在于从“知识辅助”升级为“行动替代”。它能够直接接入并操控操作系统，自主完成信息查询、数据处理、跨应用文件传输、消息自动回复等复杂指令，无需用户分步操作，成为可直接执行系统任务的“数字管家”，大幅提升数字工具使用效率。

　　技术创新在释放生产力的同时，也带来了不可忽视的安全隐患。OpenClaw依托ClawHub技能市场扩展能力，恶意插件可伪装成正规技能包绕过安全检测，植入后门窃取浏览器信息、开发者令牌、系统密码等敏感数据。该工具具备高系统权限，若直接暴露在互联网环境，极易被非法控制，攻击者可借权限冒用用户身份执行操作，并获取工具存储的对话历史与用户偏好数据，造成隐私泄露。同时，模型对复杂指令的理解存在不稳定性，可能出现误删系统文件、错误修改配置等“误伤”情况，引发设备故障与数据损失。此外，不法分子还利用公众对新技术的好奇心，以“协助安装、远程调试”为名实施诈骗，诱导用户开放设备控制权或运行恶意脚本，导致用户资金被盗、账号封禁、敏感信息泄露。

　　为规范OpenClaw等同类高权限AI智能体使用，有效防范安全风险，工信部联合权威机构提出六大安全准则：

　　一是正本清源，坚持从官方渠道下载最新稳定版本，不使用第三方镜像，升级前备份数据，升级后验证补丁有效性；

　　二是严控边界，严禁将工具实例直接暴露在互联网，确需访问应通过SSH、VPN等加密通道，限制访问来源并采用强密码或硬件密钥认证；

　　三是分权制衡，不使用管理员账号运行，对文件删除、配置修改等关键操作设置人工审批，建议在容器或虚拟机中隔离运行；

　　四是审慎评估，严格审查技能包代码，拒绝要求执行脚本或输入敏感密码的不明包体；

　　五是主动防御，提升社会工程学欺诈防范意识，配合浏览器沙箱、网页过滤器等工具阻断可疑脚本，启用速率限制，异常情况立即断开网关；六是长效监测，启用日志审计功能，定期排查漏洞，及时关注官方安全公告与漏洞库预警信息。

　　工信部指出，人工智能技术创新与安全保障必须同步推进、协同发展。党政机关、企事业单位与个人用户在探索新技术、体验新应用的过程中，应保持严谨审慎态度，坚守安全底线，规范使用行为，完善防护措施。只有在法治与安全的轨道上运行，人工智能才能真正成为助推社会进步、服务数字经济发展的可靠力量。