【大纪元2026年03月25日讯】(大纪元记者吴旻洲台湾台北报导)具备自主执行能力的人工智慧(AI)代理工具OpenClaw(俗称“龙虾”)近期成为热门话题。数位发展部资安署25日表示,AI代理工具已被广泛运用,若未妥善防护,极易成为资安破口,提醒民众若要导入OpenClaw,应落实外部账号权限最小化、启动人工审核机制等五大防护措施。
OpenClaw除拥有传统AI的对话功能之外,还能为用户执行收发邮件、管理日程、预订机票及经营社群,因而掀起安装热潮,也被外界称为“养龙虾”。
资安署提到,这类工具虽可提升作业效率,但因具备高度系统权限与24小时自主运作特性,若缺乏妥善防护,恐成为骇客入侵破口,导致个资、账号、密码及金融资料外泄,甚至衍生身份冒用与财产损失风险。
值得注意的是,AI代理的风险并非单一漏洞,而是涉及架构层面的系统性问题。资安署提醒三大资安威胁:首先,AI若浏览外部网页或读取社群留言,可能遭预埋恶意指令诱导,进而执行删档、窜改设定等危险操作;其次,第三方技能扩充可能夹带恶意程式,一旦安装,恐遭植入后门;再者,长时间运作后,AI可能因压缩记忆内容而遗失原有安全规则,导致行为失控。
资安署提5招防护措施
对于上述风险,资安署建议五大防护措施,首先落实环境隔离,避免将AI代理安装于存放机密资料或日常作业环境,应部署在独立主机、虚拟机或容器环境中,进行有效风险管控。
其次,应落实外部账号权限最小化,为AI代理注册专用账号,避免将个人日常使用的账号与密码直接提供给AI代理,并使用具有时效性的临时授权凭证。第三,凡是存取凭证、寄送邮件或执行系统指令等高风险操作,都应强制启用人工审核,要求每次执行前须经人员手动确认后才可放行。
资安署表示,第四,安装任何第三方技能扩充套件前,应先扫描内容与程式码,若发现异常连线或下载要求,应停止安装并检举。第五,应定期审阅且备份AI的长期记忆档,并将安全限制直接写入核心记忆档案,确保每次运作都会强制载入安全守则。
资安署强调,AI代理技术能带来显着的创新效益,但须在环境隔离、人工审核前提下进行测试与应用,才能兼顾数位发展与资讯安全。
责任编辑:吕美琪
