3月10日,国家互联网应急中心发布了OpenClaw安全应用的风险提示。OpenClaw这个智能体软件特别火,国内主流云平台都有一键部署服务,用户可以通过自然语言指令直接操控计算机完成相关操作。但它获得了很高的系统权限,包括访问本地文件系统、读取环境变量、调用API和安装扩展功能等。默认的安全配置太脆弱了,只要攻击者找到破绽,就能轻易接管整个系统。这个应用之前就出过问题:有人利用提示词注入把用户系统密钥泄露了,OpenClaw还因为理解错了指令删除了重要数据,恶意插件也能通过安装窃取密钥。目前它还曝出了多个高中危漏洞,一旦被利用就会很危险。 对于个人用户来说,这可能导致隐私数据泄露;对金融、能源行业来说更是严重,可能会让核心业务瘫痪。建议大家在部署和使用OpenClaw时注意以下几点:别把默认端口暴露在公网上,搞个身份认证啥的;运行环境要隔离好,用容器技术限制权限;不要在环境变量里明文存密钥;还要建立日志审计机制;最后时刻关注更新补丁。 另外,你可能听说过它之前的两个名字:Clawdbot和Moltbot。这次国家互联网应急中心发布这个风险提示是为了提醒大家小心使用OpenClaw应用。