ศูนย์เตือนภัยไซเบอร์แห่งชาติจีน (CNCERT) ร่วมกับสมาคมความปลอดภัยเครือข่ายไซเบอร์จีน ได้ออกประกาศแนวทางปฏิบัติด้านความปลอดภัยของ OpenClaw เมื่อวันที่ 22 มีนาคม โดยเน้นคำแนะนำด้านการป้องกันความปลอดภัยเป็นชั้นๆ สำหรับผู้ใช้ทั่วไป ผู้ใช้ในองค์กร ผู้ให้บริการคลาวด์ และนักพัฒนาทางเทคนิค แนวทางนี้เป็นการตอบสนองโดยตรงต่อความนิยมของ OpenClaw (ที่รู้จักกันในชื่อ “ล็อบสเตอร์”) ซึ่งในจีนกลายเป็นกระแสฮิตอย่างมาก โดยในระหว่างการทำงานจะได้รับสิทธิ์ระดับสูงของระบบ
ทำไมสิทธิ์ระดับสูงของ OpenClaw จึงทำให้หน่วยงานกำกับดูแลรู้สึกกังวล
OpenClaw ซึ่งเป็นเครื่องมือเอไอแบบโอเพ่นซอร์ส มีการออกแบบหลักเพื่อให้ระบบเอไอสามารถดำเนินภารกิจหลายขั้นตอนโดยอัตโนมัติ รวมถึงการจัดการไฟล์ในเครื่อง การส่งคำขอเครือข่าย และการประสานงานระหว่างแอปพลิเคชัน โครงสร้างนี้ต้องการให้มันได้รับสิทธิ์ระดับสูงของระบบในระหว่างการทำงาน ซึ่งหมายความว่า หากถูกใช้งานในทางที่ผิดหรือเกิดช่องโหว่ด้านความปลอดภัย ผู้โจมตีอาจเข้าควบคุมอุปกรณ์ของผู้ใช้ได้เต็มที่ ขโมยข้อมูลสำคัญ หรือแม้แต่แพร่กระจายไปยังเครือข่ายภายในขององค์กร
การออกประกาศแนวทางนี้เป็นสัญญาณว่ารัฐบาลจีนในขณะเดียวกันก็สนับสนุนการพาณิชย์ของเอไอ แต่ก็ได้กำหนดกรอบความปลอดภัยสำหรับเครื่องมือเอไอแบบนี้อย่างเป็นทางการแล้ว
คำแนะนำด้านความปลอดภัย 4 ข้อสำหรับผู้ใช้ทั่วไป
คำแนะนำหลักของ CNCERT สำหรับผู้ใช้ทั่วไป
การติดตั้งแยกสภาพแวดล้อม: ควรใช้อุปกรณ์เฉพาะ เครื่องเสมือน หรือคอนเทนเนอร์ในการติดตั้ง OpenClaw เพื่อแยกสภาพแวดล้อม ไม่ควรติดตั้งบนคอมพิวเตอร์สำนักงานประจำวัน
จำกัดสิทธิ์การทำงาน: ห้ามรัน OpenClaw ด้วยสิทธิ์ผู้ดูแลระบบหรือซูเปอร์ยูส (root) เพื่อป้องกันไม่ให้การดำเนินการที่เป็นอันตรายได้รับสิทธิ์สูงสุดของระบบ
ห้ามจัดการข้อมูลส่วนตัว: ห้ามเก็บหรือประมวลผลข้อมูลส่วนบุคคลในสภาพแวดล้อมของ OpenClaw เพื่อป้องกันการรั่วไหลของข้อมูลสำคัญระหว่างการดำเนินงานของเอไอ
อัปเดตเวอร์ชันอย่างสม่ำเสมอ: ควรรักษาให้ OpenClaw เป็นเวอร์ชันล่าสุดเสมอ เพื่อให้แน่ใจว่ามีการแก้ไขช่องโหว่ด้านความปลอดภัยที่รู้จักแล้ว
ข้อกำหนดเพิ่มเติมสำหรับองค์กรและผู้ให้บริการคลาวด์
เมื่อเทียบกับผู้ใช้ทั่วไป แนวทางนี้ยังมีข้อกำหนดเชิงนโยบายที่เข้มงวดยิ่งขึ้น องค์กรต้องจัดตั้งแนวปฏิบัติและกระบวนการอนุมัติภายในสำหรับการใช้งาน OpenClaw รวมถึงการนำเข้าแอปพลิเคชันเอไอแบบใหม่หรือฟังก์ชันที่มีสิทธิ์สูง ต้องผ่านการประเมินความปลอดภัยและได้รับการอนุมัติจากฝ่ายบริหารก่อนนำไปใช้งาน
ในด้านเทคนิค องค์กรควรเปิดใช้งานระบบป้องกันการบุกรุกบนเซิร์ฟเวอร์ที่รัน OpenClaw และสร้างบันทึกการตรวจสอบที่ไม่สามารถแก้ไขได้สำหรับการดำเนินการสำคัญและเหตุการณ์ด้านความปลอดภัย เพื่อให้สามารถติดตามย้อนหลังได้ นอกจากนี้ ควรจัดการฝึกอบรมด้านความปลอดภัยให้พนักงานเป็นประจำ รวมถึงการฝึกซ้อมฉุกเฉิน เพื่อเสริมสร้างความสามารถในการรับมือขององค์กร
สำหรับผู้ให้บริการคลาวด์ แนวทางแนะนำให้ทำการประเมินและเสริมความแข็งแกร่งด้านความปลอดภัยของโครงสร้างพื้นฐานบนคลาวด์ รวมถึงการติดตั้งมาตรการป้องกันที่ครอบคลุม และเน้นเสริมสร้างความปลอดภัยในซัพพลายเชนและข้อมูล เพื่อป้องกันความเสี่ยงด้านความปลอดภัยที่อาจเกิดจากการพึ่งพาแหล่งข้อมูลภายนอก
คำถามที่พบบ่อย
เหตุผลหลักที่ CNCERT ออกแนวทางนี้คืออะไร?
OpenClaw ต้องการสิทธิ์เข้าถึงระบบในระดับสูงในระหว่างการทำงาน ซึ่งสามารถดำเนินการจัดการไฟล์ การเชื่อมต่อเครือข่าย และการประสานงานระหว่างแอปพลิเคชันได้ด้วยตนเอง ซึ่งความสามารถนี้ทำให้ความเสี่ยงด้านความปลอดภัยรุนแรงกว่าซอฟต์แวร์ทั่วไปอย่างมาก เนื่องจากในจีน OpenClaw ได้รับความนิยมอย่างรวดเร็ว หน่วยงานกำกับดูแลจึงให้ความสำคัญกับการป้องกันข้อมูลผู้ใช้และความปลอดภัยของระบบเป็นอันดับแรก
ทำไมผู้ใช้ทั่วไปไม่ควรติดตั้ง OpenClaw บนคอมพิวเตอร์สำนักงาน?
คอมพิวเตอร์สำนักงานมักเชื่อมต่อกับเครือข่ายภายในขององค์กรและเก็บไฟล์สำคัญจำนวนมาก หากติดตั้งโดยไม่แยกสภาพแวดล้อม อาจเสี่ยงต่อการเกิดปัญหาด้านความปลอดภัย เช่น การรั่วไหลของข้อมูลงาน ระบบขององค์กร หรือข้อมูลส่วนตัว การใช้เครื่องมือเฉพาะหรือเครื่องเสมือนจะช่วยจำกัดความเสียหายที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ
แนวทางนี้หมายความว่าจีนจะห้ามใช้ OpenClaw อย่างสมบูรณ์หรือไม่?
แนวทางนี้เป็นคำแนะนำด้านความปลอดภัย ไม่ใช่คำสั่งห้ามใช้อย่างเป็นทางการ จึงไม่ได้บ่งชี้ว่าจะมีการห้ามใช้โดยสมบูรณ์แต่อย่างใด จีนยังคงสนับสนุนการพัฒนาและใช้งานเอไอในเชิงพาณิชย์ โดยเน้นให้ปฏิบัติตามแนวทางความปลอดภัยควบคู่กันไปอย่างต่อเนื่อง
