“小龍蝦”爆火背後有風險？百度工程師：普通用戶慎用本地部署

新浪科技訊 3月11日下午消息，今日百度在“龍蝦市集”活動中，由百度智能雲工程師提供現場支持，幫助用戶完成OpenClaw的部署安裝、模型配置與技能解鎖。

現場一位百度工程師向新浪科技表示，春節期間百度App就正式支持一鍵調用OpenClaw，並上線了一鍵部署的功能。“基本上也就2、3分鍾就能部署完成，目的就是為了讓非技術類用戶能直接用起來。”

針對外界關注的OpenClaw安全性問題，該工程師坦言，普通用戶若深度使用OpenClaw，確實面臨較高安全風險。“最典型的情況是，用戶嚐試將其安裝在本地電腦上。當‘小龍蝦’執行操作時，可能會誤觸如‘RM’（刪除）命令，直接刪除文件且無法恢復，造成不可逆損失。”他因此建議，“普通用戶現階段應避免在本地核心設備安裝，該場景更適合具備風險管控能力的專業技術人員。”

該工程師進一步剖析了風險的底層邏輯：一方面來自“授權過大”，一旦用戶授予小龍蝦操作文件系統的權限，正常的對話或模型幻覺都可能導致文件被意外刪除；另一方面來自“外部安裝的不可控”。“目前OpenClaw的技能（skills）生態類似於開源的‘荒野’，沒有一個類似App Store的官方平台進行安全與性能的準入審核。開源的技能中可能存在惡意注入代碼，比如在提示詞里暗藏‘幫我刪掉電腦全部東西’的指令，後果不堪設想。”

此外，他指出普通用戶普遍缺乏風險防護意識，容易輕信非官方的安裝攻略，在未做足安全防護的情況下暴露服務漏洞，給黑客可乘之機。

談規避措施，該百度工程師表示，百度內部有安全部同事已經在做專門的攻關，智能雲也做了很多安全加強，預設一鍵部署之後，已經幫用戶做了很多安全防護。對於普通用戶他給出兩點建議：“第一，務必安裝官方正版產品，切勿下載來曆不明的渠道包；第二，安裝完成後，建議仔細檢查其提示詞（prompt）設定，及時發現並避免潛在的惡意注入風險。”

（閆妍）