Versão chinesa da "lagosta" lançada em massa - a segurança consegue acompanhar o entusiasmo?

Em março, um “Lagostim” OpenClaw tornou-se viral, e a sua aparição também significou que a IA passou de “dialogador” a “executor” com privilégios máximos do sistema.

Quando o “Lagostim” chegou ao mercado nacional, várias versões domésticas surgiram, desde Tencent, Baidu, Alibaba, até Zhipu, MINIMAX e fabricantes de telemóveis, todos participando nesta febre de criar “lagostins”.

Apesar do entusiasmo, os riscos de segurança associados também preocupam muitas pessoas. Recentemente, com a popularidade do “Lagostim”, ocorreram incidentes de segurança, como quando a especialista em segurança de IA da Meta, Summer Yue, integrou o OpenClaw na sua caixa de entrada de trabalho, a IA saiu do controlo, ignorando três comandos de “parar” e apagando centenas de emails de forma descontrolada.

Um desenvolvedor pediu à IA que analisasse uma interface web, mas devido à instrução ambígua, a IA interpretou como necessidade de estudar a API, chamando diretamente a interface de exclusão, apagando todo o conteúdo da plataforma de comentários.

No dia 10 de março, o Centro Nacional de Resposta a Emergências de Internet publicou um aviso de risco sobre a segurança do OpenClaw. O aviso destacou que, para permitir a “execução autónoma de tarefas”, o OpenClaw recebeu privilégios elevados, incluindo acesso ao sistema de ficheiros local, leitura de variáveis de ambiente, chamada de APIs externas e instalação de extensões. No entanto, devido à sua configuração de segurança padrão extremamente frágil, um atacante que descubra uma brecha pode facilmente obter controlo total do sistema.

O aviso de risco indica que, inicialmente, devido à instalação e uso inadequados do agente inteligente OpenClaw, surgiram riscos graves de segurança, incluindo “injeção de prompts”, “erro de operação”, envenenamento de plugins (skills), vulnerabilidades de segurança, entre outros.

Na noite de 11 de março, a plataforma de partilha de ameaças e vulnerabilidades do Ministério da Indústria e Tecnologia da Informação (MIIT) publicou uma recomendação de “Seis coisas a fazer e seis coisas a evitar” para prevenir riscos de segurança do agente inteligente open source OpenClaw, elaborada por fornecedores de agentes, operadores de plataformas de recolha de vulnerabilidades, empresas de cibersegurança, entre outros.

Especialistas do setor afirmam que o risco depende não só da tecnologia, mas também da forma como é utilizada. Se utilizadores individuais conectarem o OpenClaw diretamente às caixas de correio principais, bancos online ou bases de dados de clientes, o risco aumenta. Se as empresas limitarem o uso a ambientes isolados, apenas permitirem ferramentas na lista branca, estabelecerem limites de confirmação manual e manterem registos de auditoria, o risco diminui significativamente.

Wang Lijun, especialista em segurança da QiAnXin, afirmou que a popularidade do OpenClaw continua a crescer, e a febre de criar “lagostins” já se espalhou do setor de IA para o público em geral. No entanto, por trás desta celebração tecnológica, ocorrem frequentes incidentes de segurança, principalmente devido ao acelerado avanço da IA rumo à “super-homemização”. Os riscos principais concentram-se na perda de controlo de privilégios e na possibilidade de “jailbreak”; riscos na cadeia de fornecimento de skills; exposição pública e ataques remotos; e vazamento de dados pessoais.

Com o lançamento de versões domésticas do “Lagostim”, várias empresas já implementaram medidas de segurança. Em 12 de março, a Tencent lançou uma caixa de ferramentas de segurança para o OpenClaw, oferecendo proteção a empresas e utilizadores individuais. Este sistema cobre três cenários principais: ambientes nativos na nuvem, redes internas empresariais e PCs pessoais, com isolamento e monitorização centralizada através da tecnologia da Tencent Cloud; reforço da segurança da rede de trabalho com o iOA da Tencent; e proteção com o Tencent PC Manager, que oferece isolamento com um clique.

Além disso, a Tencent também encapsulou algumas capacidades de segurança em Skills de IA, disponibilizando-as na comunidade ClawHub e SkillHub, permitindo que os utilizadores protejam o “lagostim” apenas com uma conversa.

Su JianDong, diretor-geral de segurança da Tencent Cloud, afirmou numa entrevista ao LatePost que a nossa abordagem não se limita a integrar segurança em produtos internos como WorkBuddy e QClaw, mas também fornece soluções de segurança para o OpenClaw de terceiros. Trabalhamos a nível de host, rede e cadeia de fornecimento, com centros de segurança específicos para agentes de IA, verificando vulnerabilidades, configurando proteção de passwords, prevenindo operações maliciosas, evitando injeções de prompts, protegendo dados sensíveis e realizando inspeções de entrada de skills maliciosas.

Não só a Tencent, mas também Baidu, Volcano Engine, Zhipu e outros fabricantes estão a lançar produtos domésticos de “lagostim” juntamente com ações de proteção de segurança.

Por um lado, há o lançamento de versões domésticas do “lagostim”; por outro, as empresas estão a desenvolver soluções para os riscos de segurança na criação de “lagostins”. Especialistas afirmam que, atualmente, o risco geral de criar “lagostins” é controlável, mas “controlável” não significa que possa ser liberado indiscriminadamente a todos num curto prazo. Do ponto de vista de gestão de engenharia, problemas como exposição pública, credenciais em texto simples, origem desconhecida de plugins, privilégios excessivos e falta de auditoria de logs podem ser significativamente mitigados com reforços de segurança.

Com o avanço dos agentes inteligentes de IA, a proteção da privacidade pessoal tornou-se uma preocupação central. Acesso a plataformas online através de permissões avançadas de smartphones pode comprometer a privacidade? É necessário duplo consentimento, do utilizador e da plataforma? Essas questões precisam de ser implementadas de forma gradual.

Recentemente, também há ações legais no exterior contra comportamentos semelhantes. No dia 9 de março, o tribunal da Califórnia ordenou que a startup Perplexity AI parasse de acessar o site da Amazon, proibindo a criação ou gestão de contas na Amazon, e ordenando a destruição de todos os dados obtidos. A inteligência artificial da empresa, Comet, disfarçada de navegador Google Chrome, contornou a deteção de ferramentas automatizadas da Amazon e enviou dados de compras para os servidores da Perplexity sem o conhecimento do utilizador. Em novembro do ano passado, a Amazon processou a empresa.

Este “ato de proibição temporária”, embora não seja uma decisão final, indica a tendência do juiz de reconhecer e respeitar a dupla autorização do utilizador e da plataforma. O tribunal citou um caso emblemático de 2009, quando o Facebook processou o site agregador Power.com, afirmando que, mesmo com consentimento do utilizador, se a plataforma revoga explicitamente a autorização e envia uma notificação de cessação, o acesso de terceiros ainda constitui acesso não autorizado.

Assim, o tribunal ordenou que a Perplexity suspenda temporariamente o login na conta Amazon dos utilizadores e destrua todos os dados obtidos. A Perplexity já recorreu.

O debate ainda gira em torno da questão da dupla autorização. Embora o caso ainda não tenha uma decisão definitiva, a integração de agentes de IA na vida e trabalho das pessoas depende cada vez mais dessa questão. Com o aumento de agentes de IA a substituir tarefas de execução, a proteção da privacidade do utilizador torna-se uma prioridade máxima.