工信部防止小龙虾安全设置

装奥喷克龙虾的马上停手，不改设置电脑直接被黑！央视和工信部刚刚发出预警，奥喷克存在高危安全漏洞，很多人装完直接默认应写公网端口开放，没有强认证，黑客可以一键扫描，直接接管你的设备，偷文件乱操作。 想安全用龙虾，这三个设置必须改！第一，关闭公网端口。第二，一定要开启登录认证，别让任何人随便连。第三，来路不明的技能包插件一律不要装。关注，了解更多 ai 智能体知识！

一夜之间，全网都在聊养龙虾，不是真的小龙虾，是那个叫 openclaw 的 智能体，有人用它自动写周报，自动回邮件，有人用它炒股抢茅台，还有人用它干了些不该干的事。 三月十一日，风向突变，至少二十家券商密集下发内部通知，禁止安装、禁止使用、禁止接入。 openclaw。 行业人士预测，接下来会有更多券商跟进。 你可能不知道这个小龙虾到底有多火，从硅谷烧到中国，从即刻圈烧到普通白领，一夜之间成了全网顶流。但火得太快，问题也来了，它会自动读取数据，自动执行指令，自动联网交互，你给了它权限，它就能干很多你意想不到的事。 工信部连夜出手，发布了关于防范 open core 安全风险的六幺六，不要介意，国家超算互联网也紧急宣布，向每位 open core 用户免费发放一千万 tokens， 但同时也公布了续购价格。 有网友调侃，昨天还在研究怎么养龙虾，今天就被通知龙虾不能养了。虽是段子，但背后是个严肃的问题，当 ai 太聪明，边界在哪？当？

哈喽，这里是杨绿的朋友圈，全网都在养小龙虾，你养了吗？先别跟风，先暂停。工信部刚刚发了预警，我们可以养，但是别瞎养。工信部刚刚通报， open club 开源 ai 智能体实力在默认或不当配置的情况下，存在着极高的网风险， 即引发网络攻击和信息泄露等安全问题。下面实操建议给到您。第一点，只在本地跑，绝不暴露公网，别端口印射，别内网穿透， 别让外网能够访问到你，只在自己家里的局域往内跑。二是权限最小化，不授权通讯录、相册、麦克风摄像头权限能最小就最小，只给必要权限。三，不带装，不付费，不远程。 官方软件是免费的，所以自己装，不要付费买教程，不找人远程带装，更不要进陌生的群。跟风可以，安全第一，不要钱，没有赚到，你的隐私就没有了，你准备怎么样？评论区见！

小心！开源智能体闯了大祸！某车企员工电脑被远程控制了！工信部连夜发出了警告。近期爆火的小龙虾欧克劳开源 ai 智能体引发了重大的安全隐患，工信部紧急发布了六要六不要防范建议，这款智能体可自主指令运行等复杂操作， 但存在提示时注入插件头图、系统漏洞等风险。国内某车企员工电脑疑是因滥用该智能体被远程控制， 企业机密岌岌可危。共性录入明确要求禁止用默认配置，不装不明插件、不处理敏感数据，部署需最小权限，留操作日期。不管个人还是企业，使用开源智能体务必守住安全底线，别让便利变成了泄密漏洞。

为啥同样跟风装了爆火的 openclaw， 别人靠它提效打工，你却一不小心踩坑，面临信息泄露、系统失控的高危风险？今天就给大家拆解全网刷屏的 ai 小 龙虾 openclaw 那 些你必须警惕的核心安全隐患。说白了， openclaw 和指挥被动应答的聊天 ai 有 本质区别， 他能直接操控你的设备，模拟鼠标、点击键盘，输入读写文件。正是这种能动手干活的核心能力，让他自带原生安全风险，一旦配置不当，就会从提效神器变成泄密利器。 首先，最核心的工信部已在三月八日发布官方高危预警，这款开源项目在默认配置或不当权限设置下，存在极高的安全隐患。 很多小白用户为了省事，直接给他开放了系统管理员权限，他不仅能读取你电脑里的所有文件、账号、密码， 甚至会被黑客远程接管，让你的设备沦为肉鸡。同时，他的第三方插件生态无官方强制审核，大量非正规插件暗藏后门，极易窃取你的工作数据、聊天记录。哪怕三月九日他刚发布重磅更新，修复了两百多项 bug， 但新增的可插拔上下文引擎接口， 也带来了新的数据泄露与权限滥用风险。最后提醒大家，切勿盲目跟风安装，务必收紧权限，只用合规插件避开安全陷阱，才能真正用好 ai， 解放双手。本栏目由 borio 冠名善思 daily app， 每天 upgrade 的 一个小知识，祝你发财！

前几天，深圳腾讯大厦北广场，近千人带着电脑排起长队，只为安装一款叫 open call 的 ai 工具。 有人说装完之后，工作效率直接提升十倍，有人打算用它炒股、剪视频，甚至还有一位六十八岁的非遗传承人坐了一个多小时车赶来，只想让 ai 帮他把老手艺焕发新生。 open call 这个被网友戏称为小龙虾的工具，并不是普通聊天机器人，它是一个能干活的数字员工，可以操作电脑、整理文件，甚至自动完成一整套任务。那为什么 open call 突然就火了？ 其实不是运气，而是 ai 技术刚好走到了一个节点。第一，开源 ai 成熟了。 open call 上线才四个月， github 新标已经超二十五万，社区开发者贡献了大量插件，整理文件、发邮件、解代码，全都有现成工具。第二，算力成本降下来了。 过去只有大厂烧得起的 ai 算力，现在普通电脑连上几百块的云服务器也能跑。第三， ai 开始产品化了，复杂的技术正被打包成普通人也能用的工具。开源降低门槛，算力降低成本、产品降低难度， 三件事撞在一起，才有了今天的 open call 热潮。那大家为什么急着养龙虾？因为很多工作本就是一条可以自动化的生产线，比如做自媒体、找素材、整理信息、剪视频、定时发布。 这些事情有个共同特点，流程固定、规则清晰。而这恰恰是 ai 最擅长的。有人用 open call 自动抓热搜、生成文案，有人让他定时发内容，一个人就能干出一支团队的活。不过，这波热潮背后也有风险。 open call 创始人最近就提醒一些小模型缺乏安全保护，可能被黑客操控。 而且 open call 权限很高，它可以直接操作你的电脑。安全专家也发现，全球已有超过二十万例 open call 实力暴露在公网，其中不少存在数据泄露风险。而且说实话， open call 这样的智能体工具或许更适合少数人，比如能把工作流程拆的很近的人，以及已经有丰富的 ai 经验的人。因为它本质上是一套自动化系统，你要设计流程，判断结果，随时人工介入， 一旦配置复杂，不肯消耗，增加成本和风险都不低。对大多数普通人来说，真正缺的也许不是效率，而是认知。先把各种拆报的用好，学会提问，拆问题，判断信息。 当你真正知道哪些事情值得自动化时，再去养一只龙虾也不迟。当一项技术突然被大规模关注，往往意味着一个新时代正在开始。但这届养虾人，不仅要学会让他干活，也得学会管好这只龙虾。前几天，深圳。

兄弟们， transformer 作者 elia polsukhin 重购小龙虾，用 rust 搓出更加安全的钢铁虾。 ironclad 开源不到三天，就已经在 github 上获得了七点二个 stars。 早在二月十号， strike 威胁情报团队就曾发出警告，有超过十三点五万个 openclaw 实力暴露于互联网，面临网络安全威胁。而就在今天，国家工信部于人民日报发文， 警惕 openclaw 安全隐患，在缺乏有效安全加固的情况下，有可能会被恶意接管 ai 助手执行月权操作，从而造成信息泄露、系统受控等一系列安全风险。 不同于 openclaw， 今天分享的这款刚刚开园的钢铁侠， ironclaw 主打安全第一，采用 ysm 杀核隔离工具执行日常任务， 通过加密保险柜管理 a p i 密钥，确保敏感数据永不暴露给 ai 助手。更狠的是，该项目严格限制 ai 工具访问使用者，批准访问的网站和主机，不会出现 ai 助手随便访问来历不明的网站和设备。 并且该项目自带模式检测、内容、消毒和策略规则等功能，具备一定的抵御网络攻击的能力。官方给出了 iran club 本地部署的方法，感兴趣的朋友们可以去试试。如果你也想要一个 open club 助手来提升效率，但又担心会有隐藏的安全风险，那么我相信 iran club 会是你一个很不错的选择。

这个工信部又来重申龙虾部署的安全建议了，说明现在 open club 确实存在着安全隐患，所以如果大家真的需要也想用的话，还是要好好记住这些建议。 我身边的朋友同事也对这个很有兴趣，摩拳擦掌想部署下来，奴役他们为自己干活了。那么我给大家强调一下，这些建议不厌其烦的说，希望大家不要踩坑。一、 要使用官方最新版本，不要使用第三方的镜像版本或历史版本。这个所谓第三方镜像版本就相当于是离轨。本来你要下一个 steam， 结果你发现下了一个 steam 镜像版本和历史版本是不能保证他的程序没有被别有用心的人动过手脚的，所以不要用。 这条好理解啊，说白了就是要用正版，不要用盗版，不要当盗版软件的受害者。二、要严格控制互联网暴露面，不要将龙虾智能体实力暴露到互联网，这个也好理解， 你联网可能会被劫持或者黑掉，所以尽量减少暴露。如果必须要用联网的话，注意借助一些保护方式，可以使用 s s h 加密通道或者限制访问原地址这些。三、要坚持最小权限原则，不要在部署时使用管理员权限账号。 白话说就是基层员工就是基层员工，基层员工拧螺丝给他使用扳手的权限就好，不要开放企业账户给基层员工以董事长权限，否则不知道出什么幺蛾子。四、要谨慎的使用技能市场，不要使用可疑技能包。什么叫使用可疑技能包呢？ 举个例子，让下载 zip 解押的执行泄露脚本的，或者需要你输入密码的，你可以都一律认为他们是可疑的技能包，因为技能包相当于给你的龙虾移植器官， 那可不敢什么都往里放，弄了不干净的东西是要死人的。五、要防范社会工程学攻击和浏览器劫持。不要浏览来历不明的网站， 这个就是互联网基本的安全知识了。你即便不部署小龙虾，你也最好不要去浏览来历不明的网站，因为容易被钓鱼或者中病毒。六、建立常效防火机制，不要禁用详细日期审计功能 简单来说，就是经常给你的小龙虾做做体检啊，审查一下他的思想这些，看看有没有叛变迹象。如果你禁用了详细日期审计功能，效率是高了，但如果你的龙虾投敌了，你也发现不了。此外呢，工信部还提供了一份部分安全基线及配置参考，如果有需要的朋友，评论区发个一哈。

这五类人给我听好了，你千万不能，不能不能去装龙虾 ai， 无论你是会计当老板的，理财炒币的，有正式工作的和小白宝妈，国家都发文警告你了，在网上爆火的是养一只小龙虾，但是今天我把话放在这哈， 不懂你就别瞎装，很可能工作没了，钱没了。我这么说啊，关系到钱，工作财产安全，说点大实话又怎么了？ 这个龙虾 ai 啊，说是工具，但他不是普通的聊天工具，可不是绿泡泡，你来我往，他是能直接打开你的电脑，直接接管你电脑所有程序和信息资料的智能体 能，开文件，能操作系统，能打开你的账号，知道你的权限密码，能动你的资金，这个能耐可大了去了，权限到底有多高？你的电脑所有的东西就是对他完全开放的，是全透明的状态。很多人呢，玩归玩，但是你要明白， 权限越高，这个坑就越深，这个操作进程啊，根本你就控制不了，你想让他停，停不下来，那我跟你讲讲，什么人群不适合用那第一类人就是我这个职业， 当会计的，当财务的，打着这个资金流方向，信息资料，合同，客户信息的，还有资金密码的， 就不能透露给 ai。 这个龙虾 ai 一 旦介入，可以改报表，改发票、改合同，甚至窃取你一切的资料，所有东西都自动发，回头你想查记录都查不到，这是谁干的？所以做财务，装了这个龙虾的智能 ai， 就 等于泄露天机，泄露秘密，工作饭碗有可能都保 不了。那第二类就是电商实体店，连锁企业，你的收银系统，会员体系，还有这个银行的账号密码， 这些统统都要保密，而不要随意的让电脑去介入龙虾 ai， ai 一 旦出了问题，就会店铺被盗号，资金被挪用，被转走，被盗窃，甚至是你的同行窃取了你的商业机密来打击你。还有大家有印象吗？像快手那么大的企业，都被 一天晚上瞬间植入了什么小黄黄广告，那么大的企业，他的安全防护要比这个普通的店铺安全等级要高很多吧，怎样 那怎样，一样被打的狗血淋头，所以大家在这一块一定要谨慎再谨慎。所以 ai 侵袭破坏这一块根本就不是什么新鲜事，他是想利用你常见的人的心理，怎样泄露你资料，然后顺着你这个渠道去扑他想要的东西。那第三类就是做金融理财投资逃避的人， 本身数字就是你的资产，但你的交易所，钱包，转款的权限，密钥这些在 ai 智能体面前，那不就是几乎透明化吗？只要你敢给他更高的权限， 那就意味着你敢承担这个更高的风险。那像棉北呢，是把你骗过去来控制你，那 ai 还用吗？你只要敢向他敞开所有的秘密，他就利用电脑来控制你，那一不小心乱转乱点，是不是钱就没了，本金也就没了？那如果是别人来介入你的 ai 呢？瞬间你啥都没了。 第四类呢，就是国家的工作人员，包括家属，亲戚朋友，你知道这些底细的人，沾点边的你也别碰。 那泄露什么国家安全秘密，包括你工作的那些内容，文件，往来领导说的那些话，都是应该保密的，不要轻易往外泄露，还有包括你的私人照片，朋友关系，你的资金，这些统统都不能泄露，所以 a i 你 能装吗？不能装 那你看泄密风险，违规风险，距离风险，统统不能碰吧。五类呢？就是纯小白宝妈，上班族，你们就是纯纯的韭菜。本来也不懂得这个 a i 写程序 开源确实是免费的，但是本地部署你不是不会吗？你可能就得花个千八百的请人帮你部署，但是他要装了木马软件了，你能识别出来吗？过个月吧，几个月这些事他把你黑了，你所有的这个资金账号，什么孩子的照片，家属的照片，你那点底气被人家放个底朝天， 你后不后怕？完全安全的，那些什么网上的这个云空间烧的，这个偷看你能烧得起？大部分人的这个机器是落灰的， 毛钱挣不着，你全是花钱的事，那成本花出去的你哭都来不及。那简单总结就三句话啊，那第一，免美是把你人骗过去，控制你骗钱，那龙虾 ai 这种智能体可不用，是你把这个电脑向人家敞开，直接控制你电脑了，就控制你的钱。那第二呢，凡是跟钱账户啊，这个信息安全相关的， 只要是你敢给权限，就相当于你开门睡觉，你还能去问说为啥我开着门我咋能被偷家呢？第三，凡是公职人员家属，你一定要把国家对公的事放在第一位， 不要有那个玩心，碰你都别碰，真是涉及到机密的，你可是要做大 a 了的。那无论是什么事哈，什么龙虾 ai 也好，还是其他的工具也好，吹的再嗨， 很多人呢认为只是玩玩，我跟你说根本他就不是再火的工具，告诉你能赚钱，你要把住一条，我有底线，安全是第一位的，只有这么一条，那现在太多人替这个龙虾 ai 吹吹呼呼了，说他怎么怎么好， 但是很少有人告诉你风险，你看到这条视频，一定把它转给你的家人和朋友，不要轻易的踩坑。亲信，他能 赚钱，赚钱也是给认知够的人去赚的。热门的工具千千万，但是安全的事只有一条，不管是什么风口项目，热门的软件政策的第一信息，我都跟大家分析个明明白白，帮大家避坑。那靠不靠谱，我第一时间就会帮你讲明白，也欢迎大家来关注我，少走弯路，少掉坑。

各位做实业的老板们呐，最近呢，后台有好多人问我那个叫做 open crop 的 小龙虾，说别人用的神乎其神的，能不能用来搞贸易，管工厂，做加工呢？今天呐，我必须给大家泼冷水，这玩意儿现在对咱们实体企业来说，真的不是什么增肥剂， 有可能啊，他就是个炸药包。我知道啊，大家很想去提效，想省钱，但是这个小龙虾，你要想让他干活，你就得喂他数据，你要让他帮你管仓储，要跑供应链，甚至呢，处理合同， 就得让他进到你的系统。这个时候啊，风险就来了，万一啊，他把咱们工厂的数据，贸易公司客户名单，加工企业的核心秘方泄露出去了，这个损失谁来承担呢？ 银行和工信部啊，都发预警了，连大公司都不敢在内玩，用咱们中小企业的防火墙啊，是真的经不起一点折腾。所以啊，我的建议是啊，自己玩玩可以，别进公司系统， 你个人手机啊，装一个，让他帮你去查一些不涉密的行业新闻，或者是规划出一些行程安排，这是没问题的。 但是呢，但凡涉及到公司核心业务的，比如说咱们的财务审批呀，订单处理，客户管理，通通都别让他沾边。咱们做实体的，稳字当头，千万别为了省那点事，把家底都漏了。 如果说确实有需求的企业，咱们也可以免费上门协助安装，但是前提是你得懂得怎么用，并且得真正用得到， 千万不要为了赶时髦，最后成为了一个摆设。做企业就像跑长途，安全比速度重要一万倍，关注我，带你用最稳妥的方式搞定融资，稳健赚钱。

爆火的 ai 龙虾， opencrow 可能正悄悄啃食你的电脑安全！最近，一款叫 opencrow 的 ai 智能体全网爆火，就因为它能替你干活，有人花五百元请人安装，有人几天靠上门安装就赚了二十六万，写周报修程序并餐厅，他全包了。 但火爆背后，这只 ai 龙虾可能正在你家电脑里搞事情。工信部紧急提醒，这只龙虾在默认配置下存在严重安全漏洞，容易被黑客操控甚至窃取你的隐私数据。 建议赶紧核查全线配置，关闭不必要的公网访问，别让 ai 助手变成网络帮凶。科技让生活更便捷，但安全永远是底线， ai 再智能，也得装个安全锁。

hello， 大家好，今天有一条来自工信部关于小龙虾的重要提醒，咱们必须得敲黑板划重点了。 最近有个叫 open cloud 开源智能体火了，因为它的 logo 长得像龙虾，大家管它叫龙虾智能体，虽然它能帮我们干很多活，但安全问题也来了。 就在今天下午，工信部网络安全威胁和漏洞信息共享平台专门针对这个龙虾发布了一份六要六不要的安全建议，这可不是闹着玩的，大家一定要听好了。 要点一，版本要正。大家下载龙虾的时候必须要去官方渠道下最新稳定版，记得打开自动更新，千万不要去那些乱七八糟的第三方镜像站下老版本，小心被植入木马。 要点二，上网要查。如果你在单位或者公司部署了龙虾，一定要定期检查，看看他是不是不小心暴露在互联网上了。 千万不要直接把龙虾挂在网上让人随便访问，如果非要远程，一定要用加密通道把访问员地址限制死，密码要设计的超级复杂。 要点三，权限要小。给龙虾授权的时候，它需要多大权限就给多大权限，尤其是涉及到删文件改系统这种高危操作，一定要设置二次确认或者人工审批， 千万不要一上来就给管理员权限，最好把它关在虚拟机或者容器的这个笼子里进行运行。要点四，技能要查龙虾有个技能叫做 克罗汉堡，大家下载技能包的时候一定要先审查一下代码，看看有没有猫腻。千万不要下载那些你理解的压缩包， 执行脚本或者输入密码的技能包，这很可能就是黑客的圈套。要点五，上网要防。 平时用电脑的时候，一定要开启浏览器、杀箱、网页过滤器这些功能，拦住可疑脚本，一旦发现龙虾行为异常，马上断网关，改密码。 千万不要一边让龙虾跑着任务，一边用同一个浏览器去访问那些不三不四的网站，乱点陌生连接。 最后一点，防护要紧，大家要养成定期给龙虾打补丁、修漏洞的好习惯。多关注工信部 nvdb 的 官方预警，千万不要为了省事关掉日制审计功能，不然出了问题你都不知道是怎么回事。 总结一下，龙虾虽好，可不要贪玩哦！无论是党政机关、企业还是个人，网络安全这根弦咱们时刻都要绷紧了。 赶紧把这条视频转发给身边正在用龙虾的朋友吧！关注我， ai 战神零零七，了解更多的网络安全干货！

龙虾这个事情今天重磅提醒了，小龙虾已经泛滥，昨天是工薪不发文，注意安全隐患。今天就是国家网络应预警应急中心了，全球四万多只 open club 爆料，在公网上百分之六十三是有漏洞的，也就是说有两万多只龙虾。你可以远程控制的控制他的电脑，让他做任何事情。 他可以是你的数字工具人，但是他也可能是成为最大的病毒。所以我还是那个建议，建议普通人还是云端部署，先学会了解他，非必要不去做本地部署。如果你想尝试本地部署，就用那些 老旧的 pc 安装，同时控制你的偷看的消耗，然后那把自己的隐私保护好。