最近,一款名为OpenClaw的软件在网上火了起来,国家互联网应急中心也提醒大家要注意风险。这个软件还有过Clawdbot和Moltbot的名字,大家通常把它叫做“小龙虾”。它的下载量非常高,国内主流云平台都能给你提供一键部署的服务。这个智能软件主要是通过自然语言指令来控制电脑,完成各种任务。为了实现这个功能,它被赋予了很高的系统权限,比如访问本地文件、读取环境变量、调用外部API、安装扩展功能等等。不过,它的默认安全配置太脆弱了,一旦攻击者找到漏洞,就能轻易地控制你的系统。前期有些用户因为没装好或者用错了它,已经遇到了大麻烦。 首先是“提示词注入”风险。攻击者可能在网页上藏恶意指令,引诱OpenClaw去读取网页内容。结果就是用户系统密钥被泄露。 然后是“误操作”风险。如果用户给的指令不准确,OpenClaw可能会误解意图,把邮件或者核心数据给删掉。 还有功能插件投毒的问题。很多插件被证实是恶意的或者有潜在危险的。一旦安装了这些插件,设备可能就会变成“肉鸡”,被黑客用来做坏事。 此外还有漏洞问题。截至目前已经有几个高中危漏洞被公开曝光了。如果这些漏洞被黑客利用,系统可能被控制,隐私信息也会泄露。 对于普通用户来说,隐私数据、支付账户还有API密钥都有可能被窃取。而对于金融、能源这些关键行业来说,核心业务数据和代码仓库可能泄露出去,整个业务系统也可能瘫痪。 所以建议大家在使用OpenClaw时要小心点儿,采取一些安全措施来保护自己和设备的安全。