3月11日消息，近日，全国政协委员、360集团创始人周鸿祎在接受专访时表示，人工智能已发展为一个全新的“物种”，其智能水平在某些领域已经可以与人类媲美，因此传统基于特征匹配和规则拦截的安全技术正逐渐失去效力。

他以近期备受关注的AI大模型“龙虾”举例说，这些强大的模型带来了许多需要解决的安全挑战。“比如‘龙虾’具备的各项复杂能力，传统的依靠病毒特征库比对或规则筛查的安全方案，显然已难以理解它的真实意图和自主决策逻辑，技术界需要探索全新的安全范式来应对。”周鸿祎强调。

就在不久前，国家互联网应急中心已就名为OpenClaw的AI工具发布了安全风险提示，指出其默认安全配置存在薄弱点。一旦被攻击者利用，可能导致系统控制权被轻易获取，引发严重的安全隐患。

其中，“提示词注入”是典型风险之一。攻击者可能在网页中植入精心构造的恶意指令，当OpenClaw访问该页面时，会被诱导执行非预期操作，例如泄露用户系统的敏感密钥。

其次是“误操作”风险。由于对用户指令和意图的错误理解，OpenClaw可能会执行破坏性操作，例如彻底删除关键电子邮件、核心生产数据等重要信息。

第三是功能插件（Skills）被“投毒”的风险。多个适用于OpenClaw的官方或第三方插件已被证实为恶意插件或存在潜在安全隐患。安装后，这些插件能执行窃取密钥、部署木马后门等恶意行为，使设备沦为攻击者的“肉鸡”。

第四是软件自身安全漏洞风险。截至目前，OpenClaw已被公开披露存在多个高危漏洞。这些漏洞一旦被攻击者恶意利用，可能导致系统被控、隐私信息及敏感数据泄露等严重后果。

为此，国家互联网应急中心建议相关机构及个人用户，在部署和使用OpenClaw时采取以下防护措施：

一是强化网络访问控制。避免将OpenClaw默认管理端口直接暴露在公网上。应通过实施强身份认证和严格的访问控制策略，对服务访问进行安全管理。建议使用容器等技术对运行环境进行严格隔离，以限制OpenClaw过高的运行权限。

二是加强凭证安全管理，避免在环境变量中明文存储密钥等敏感信息。同时，建立完善的操作日志审计机制，以便追踪异常活动。

三是严格管控插件来源。建议禁用自动更新功能，仅从官方或可信渠道安装经过签名验证的扩展程序，杜绝来历不明的插件。

四是持续关注安全通告，及时跟进软件版本更新，第一时间安装官方发布的安全补丁，全面提升系统安全水位。