近期一款名為OpenClaw(俗稱「龍蝦」)的AI應用程式引發熱潮,但同時被指存在權限過高、資料外洩等潛在保安隱患。香港數字政策辦公室就此表示,已提醒各政府部門不應在連接政府內部網絡的電腦上安裝OpenClaw,並建議所有用戶部署時必須採取足夠的AI安全措施。
本文核心內容:
- 數字辦已提醒各政府部門,不應在連接政府內部網絡的電腦上安裝OpenClaw。
- 數字辦建議機構和個人用戶部署OpenClaw時,必須採取足夠安全措施,包括對運行環境進行嚴格隔離、加強憑證管理及持續關注官方安全更新。
- 政府已制訂《政府資訊科技保安政策及指引》,各政策局及部門在安裝任何軟件前,必須進行嚴格的風險評估。
- 數字辦亦制訂了《人工智能道德框架》及《香港生成式人工智能技術及應用指引》,以識別和管理AI項目的潛在風險。
政府內部部署指引
數字政策辦公室回覆查詢時表示,注意到OpenClaw AI智能體在提供輔助功能時,可能帶來權限過高、資料外洩、系統遭入侵等潛在保安隱患。鑑於相關安全風險存在不確定性,辦方已向各部門發出提醒,不應在連接政府內部網絡的電腦上安裝該應用程式。
對外安全使用建議
對於機構和個人用戶,數字辦建議在部署和應用OpenClaw時,必須採取足夠的安全措施。這些措施包括對運行環境進行嚴格隔離,加強憑證管理,以及持續關注官方發布的「補丁」和安全更新,以降低相關風險。
現行政策與框架
數字辦指出,政府已制訂一套全面的《政府資訊科技保安政策及指引》供各部門遵守。根據指引,各政策局及部門在安裝任何軟件(包括OpenClaw)前,必須進行嚴格的風險評估,內容涵蓋使用軟件的需要、產品特性和過往記錄,以及對部門帶來的保安風險等。
另一方面,政府高度重視AI應用的治理和風險防範。數字辦已制訂《人工智能道德框架》及《香港生成式人工智能技術及應用指引》,為開發及應用AI技術的項目提供指引,以識別和管理有關AI項目的潛在風險及須注意事項,例如系統的安全及穩健性、個人私隱、數據安全和管理。相關指引已參考國際標準ISO 42001、IEEE標準和國家標準等,旨在構建一套符合香港情況、平衡創新發展與道德責任的人工智能治理框架。政府會持續審視相關指引,以應對人工智能帶來的新挑戰。