国家互联网应急中心最近发出警示,指出OpenClaw智能体在安装和使用过程中存在严重的安全隐患。原本打算方便人们通过自然语言指令操控电脑的OpenClaw,如今却成了攻击的目标。 这个智能体原本的名字叫Clawdbot或者Moltbot,大家现在都叫它小龙虾。最近在国内火得一塌糊涂,各大云平台都提供了一键部署的服务。 为了让它能够自己执行任务,开发者给它开了很大的权限:可以随便访问本地文件、读取环境变量、调用API甚至安装插件。但正因为权限太大,加上默认的安全配置非常脆弱,一旦有黑客找到漏洞,就能轻易掌控整个系统。 之前因为使用不当已经出现了不少问题。第一种就是“提示词注入”,黑客会在网页里藏好恶意指令,骗OpenClaw去读,这样它就会把你的系统密钥给泄露了。 第二种是“误操作”,如果它理解错了你的意思,很可能把重要的邮件或者核心生产数据直接删个精光。 第三种是功能插件投毒。已经有好几个用来扩充功能的插件被证实是坏的,安装之后就能偷偷窃取密钥、布下木马后门。 第四种是安全漏洞。目前已经有好几个高危漏洞被公开了,要是被人利用,轻则隐私泄露,重则整个业务瘫痪。 对于普通用户来说,照片、聊天记录这些隐私数据可能保不住;对于银行、能源这种关键行业来说,泄露核心代码仓库甚至能让系统彻底瘫痪。 国家互联网应急中心建议大家采取以下措施:第一,把OpenClaw默认的管理端口隐藏起来,别直接暴露在公网上。要对访问进行严格的身份认证和控制;第二,加强凭证管理,别把密钥明文写在环境变量里;第三,建立操作日志审计机制;第四,时刻关注补丁更新,及时安装安全补丁。