1. 首頁 > 生活百科 > >

養龍蝦出現嚴重風險!國家互聯網應急中心發布關于OpenClaw的提醒

人工智能aiReddit創業

養龍蝦出現嚴重風險!國家互聯網應急中心發布關于OpenClaw的提醒

文章圖片


快科技3月11日消息 , 近期 , OpenClaw爆火 , 這是一種可以部署在個人電腦上的AI代理 , 采用龍蝦圖標設計 , 因此被人親切的稱為龍蝦 。
它的核心是將自然語言指令轉化為電腦實際操作 , 實現一句話讓AI替你干活 , 能自主完成文件操作、瀏覽器自動化、數據抓取、表格制作等任務 。
爆火之后 , 很多個人玩家都來嘗試“養龍蝦” , 甚至催生了安裝部署產業 , 300-500元安裝一次 。

需要注意的是 , 由于該應用被授予了較高的系統權限 , 包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(API)以及安裝擴展功能等 , 會出現嚴重風險 。
國家應急管理中心發布風險提示稱 , 由于其默認的安全配置極為脆弱 , 攻擊者一旦發現突破口 , 便能輕易獲取系統的完全控制權 。
前期 , 由于OpenClaw智能體的不當安裝和使用 , 已經出現了一些嚴重的安全風險:
【養龍蝦出現嚴重風險!國家互聯網應急中心發布關于OpenClaw的提醒】1.“提示詞注入”風險 。 網絡攻擊者通過在網頁中構造隱藏的惡意指令 , 誘導OpenClaw讀取該網頁 , 就可能導致其被誘導將用戶系統密鑰泄露 。
2.“誤操作”風險 。 由于錯誤的理解用戶操作指令和意圖 , OpenClaw可能會將電子郵件、核心生產數據等重要信息徹底刪除 。
3.功能插件(skills)投毒風險 。 多個適用于OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險 , 安裝后可執行竊取密鑰、部署木馬后門軟件等惡意操作 , 使得設備淪為“肉雞” 。
4.安全漏洞風險 。 截止目前 , OpenClaw已經公開曝出多個高中危漏洞 , 一旦這些漏洞被網絡攻擊者惡意利用 , 則可能導致系統被控、隱私信息和敏感數據泄露的嚴重后果 。
對于個人用戶 , 可導致隱私數據(像照片、文檔、聊天記錄)、支付賬戶、API密鑰等敏感信息遭竊取 。 對于金融、能源等關鍵行業 , 可導致核心業務數據、商業機密和代碼倉庫泄露 , 甚至會使整個業務系統陷入癱瘓 , 造成難以估量的損失 。

建議相關單位和個人用戶在部署和應用OpenClaw時 , 采取以下安全措施:
1.強化網絡控制 , 不將OpenClaw默認管理端口直接暴露在公網上 , 通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理 。 對運行環境進行嚴格隔離 , 使用容器等技術限制OpenClaw權限過高問題;
2.加強憑證管理 , 避免在環境變量中明文存儲密鑰;建立完整的操作日志審計機制;
3.嚴格管理插件來源 , 禁用自動更新功能 , 僅從可信渠道安裝經過簽名驗證的擴展程序 。
4.持續關注補丁和安全更新 , 及時進行版本更新和安裝安全補丁 。

    推薦閱讀