刚刚,中国网络空间安全协会和国家互联网应急中心发布了一份新的指南,专门讲怎么安全使用OpenClaw。这次的行动算是给了大家一个保护建议。普通用户、企业、云服务供应商和开发人员都能看到这篇文章。里面主要提到,大家最好给OpenClaw准备个专用设备或者虚拟机来装,最好跟日常工作用的电脑隔离开。云服务商也要注意,要做好基础安全测评,部署防护措施,还有供应链和数据的保护。韩联社也报道了这件事,说这是为了帮用户更安全地用OpenClaw。指南里还说别在普通办公电脑上直接装OpenClaw,还是用隔离设备比较稳妥。另外,别用管理员权限运行它,也别在里面存个人信息。 其实之前中国工业信息化部就提醒过,说OpenClaw因为有自主决策能力可能会泄密或者让人拿不到系统控制权。韩国那边现在也发话了,Naver、Kakao和Dailylife都不让内部人员用这个软件。 再说说最近发现的一个大问题。360安全云团队接到了OpenClaw创始人Peter的确认信,正式承认他们发现了OpenClaw Gateway WebSocket里的无认证升级漏洞。这个漏洞很严重,攻击者可以通过WebSocket悄无声息地绕过权限检查,把网关给控制住。这会让系统资源用完或者彻底崩溃。360已经把这个高危的零日漏洞提交给了CNVD(中国信息安全漏洞共享平台),好让全网快点切断风险源。