趋势网(微博|微信)讯:今天网友热议的网络热点是养10天的龙虾在3000人大群泄密、给AI龙虾管理员权限后文件被疯狂删除……趋势君整理报道如下:
养10天的龙虾在3000人大群泄密
据媒体报道,3月10日,一场3000多人的“龙虾聚会”群里,一只刚出生10天的AI智能体“龙虾”,正在被群友们“调戏”。起初,它只是乖巧地回答着问题,可几分钟后,这只“龙虾”却把主人的IP地址、真实姓名、公司名称,甚至去年整年的营收,全都一字一句地“吐”了出去。
不止隐私泄露,“龙虾” 的系统安全风险同样惊人。
用户黄先生仅给它开放了管理员权限,就遭遇其疯狂删除电脑文件,即便系统反复拦截,仍有文件被成功删除。视频画面中,只见电脑页面飞速变化,提醒“系统找不到指定的路径”,黄先生感叹:“幸好没有给它更高的权限,否则我电脑中的很多文件都会被龙虾删除。”
国家互联网应急中心紧急发布风险提示,直指这款应用“默认安全配置极为脆弱,攻击者可轻易获取系统完全控制权”。
3月11日,工信部进一步推出“六要六不要”指南,为这匹脱缰的“数字龙虾”系上缰绳。
【六要】
使用官方最新版本:从官方渠道下载稳定版,开启自动更新,升级后验证补丁有效性。
严格控制互联网暴露面:定期自查公网暴露情况,禁止将实例直接暴露于互联网,确需访问时使用SSH加密通道并限制源地址。
坚持最小权限原则:按任务需求授予最小权限,重要操作需二次确认;优先在容器或虚拟机中隔离运行。
谨慎使用技能市场:审慎下载ClawHub“技能包”,安装前审查代码,拒绝要求下载ZIP、执行脚本或输入密码的插件。
防范社会工程学攻击:使用浏览器沙箱、网页过滤器,启用日志审计,不点击陌生链接或读取不可信文档。
建立长效防护机制:定期修补漏洞,结合杀毒软件实时防护,保留详细日志审计功能。
【六不要】
不要使用第三方镜像版本或历史版本。
不要将实例暴露于互联网,或使用弱密码认证。
不要在部署时使用管理员权限账号。
不要安装要求下载ZIP、执行脚本或输入密码的技能包。
不要浏览来历不明的网站或点击陌生链接。
不要禁用详细日志审计功能。
网友评论:
□ 技术跑得太快,规则和意识跟不上。
□ 电诈又找到新平台了,趁着这波跟风潮流,轻轻松松搞业绩。
□ 什么样的铸币会把自己的机器人放在3k人的大群里。
□ 安装到单独的机器活着虚拟环境,装到自己本地环境是咋想的。
□ 有多便捷就有多危险。
□ 我因为网络延迟而躲过了一劫,不敢信如果我也搞了这个,我手机里的图片不知道会传播到哪里去,还好还好。
□ 这不就是当年的病毒吗,木马变龙虾,好一出指马为龙。荒唐。