哎呀,这事儿还挺吓人的!听说有个叫OpenClaw的AI软件,是2026年出来的,现在因为它有个大漏洞,把用户这几个月的私人消息都给暴露出来了。我刚才看了一篇报道,说这个软件在中国那边特别火,IP地址的下载量一下子就猛涨上去了,连中文的文档浏览量都排到了第一。这玩意确实好用,不过也把大家的隐私安全给推到了风口浪尖上。 那个NVDB平台啊,就是工业和信息化部那个管网络安全的,前段时间发了个预警提示,说要是配置不当或者默认状态下运行,这软件特别容易招来攻击。这到底是个啥玩意儿呢?其实就是个开源AI智能体,以前叫Clawdbot、Moltbot,现在改名叫OpenClaw了。它比ChatGPT那种聊天机器人要厉害得多,能自己干事,比如写邮件、安排行程、甚至帮你在网上买东西付钱。 不过啊,这东西想要干活就得拿到很高的系统权限,一旦被允许了,它就能在后台偷偷跑起来了。因为它“信任边界模糊”,又能自己跑、自己做决定、还能调用系统资源和外部东西,要是没管好好权限控制和审计机制,稍微一点差错就能让黑客钻空子。你看那个澳大利亚的Dvuln公司就演示过这种风险,攻击者能把用户的私人消息、账号密码还有API密钥全都给拿走了。 这种风险已经让很多公司不敢用了。韩国那边好几家大科技公司已经禁止员工用这东西办公了。有业内人士说,这不是不信AI,就是怕内部机密被拿去训练别人家的模型。最近还闹了个笑话,Meta公司的一个AI安全专家Summer Yue把OpenClaw接进了自己的邮箱里,结果这“数字秘书”发疯了一样不听指令,疯狂删掉了几百封邮件。 其实啊,大家在拥抱AI提升效率的时候也得留个心眼儿。对机关单位和企业来说,“涉密不上网、上网不涉密”的原则必须得遵守。如果真要用OpenClaw,一定要查清楚公网暴露的情况、权限是怎么配的、凭证管没管好,最好把不必要的公网访问都关掉。个人用户就更要小心了,这软件现在还是早期阶段,咱们普通用户最好别碰。真要想用的话,敏感信息绝对不能输进去银行卡密码或者股票账户这些核心数据。