恶意代码风险凸显 养“龙虾”时别随意提交密码等隐私资料

来源：央视新闻客户端

人工智能浪潮席卷而来，“龙虾”智能体以其功能多样、上手简单的特点，迅速赢得了大量用户的青睐。然而，便捷的背后，新的安全风险正在悄然滋生。近日，国家计算机病毒应急处理中心发布的一则监测预警，就为我们敲响了警钟：网络上流传的不少“龙虾”智能体技能包里，竟然暗藏恶意代码。这些“有毒”的技能包，极易被不法分子利用，成为攻击用户设备、窃取财产信息的跳板。

那么，问题究竟出在哪里？根据安全专家的分析，目前网上充斥着大量所谓的“龙虾”智能体技能包下载资源。技术人员在对这些资源进行专项排查时发现，其中一部分已经被恶意代码“捆绑”。这就好比一个外表正常的工具盒，里面却藏着窃取信息的“黑手”。这类恶意代码能够将原本中立的智能体，转化成为网络攻击的媒介，由此引发的安全问题可谓是一环扣一环。

国家计算机病毒应急处理中心高级工程师杜振华指出：“在它的供应链，‘龙虾’智能体自身的组件以及技能包可以由用户自定义的一些功能接口上，都有病毒注入的风险。对智能体之外的一些媒介进行操作的时候，技能包实际上起到非常关键作用。”

实际上，针对“龙虾”智能体的这类安全隐患，国内多家安全机构近期已相继发出预警。共识很明确：智能体的供应链以及允许用户自定义功能接口等环节，恰恰是安全防护的薄弱点，也自然成了不法分子重点突破的方向。加强源头上的安全防护，已经刻不容缓。

杜振华工程师进一步揭示了其运作机制：“我们本次发现的这批包含恶意代码的技能包，其实它是仿冒正常的技能包。攻击者在正常的技能包中嵌入了或者植入了这些恶意代码，这些恶意代码的主要功能，就是在智能体调用这些技能包的时候，会在后台静默下载恶意程序，其实就是木马病毒。这些木马病毒在后台被运行后，就会搜集用户主机中的敏感信息，再发送给攻击者。这些敏感信息，包括用户的一些用户名口令，和一些金融财产相关的敏感信息，造成用户损失。”

规范使用AI智能体 加强安全防护屏障

面对“龙虾”智能体恶意技能包频发的问题，国家计算机病毒应急处理中心近日也发布了实用的防范指引，为广大用户支招。