新京报3月10日,国家互联网应急中心针对OpenClaw安全应用发布风险提示。近期,OpenClaw应用程序(“Crayfish”,原名Clawdbot、Moltbot)已快速下载使用,全国各大云平台均提供一键部署服务。这种智能代理软件直接控制计算机,根据自然语言指令完成相关操作。为了实现“自主执行任务”的能力,应用程序被授予更高级别的系统权限,例如访问本地文件系统、读取环境变量、调用外部服务的应用程序编程接口(API)以及安装扩展。然而,默认的安全配置非常薄弱,一旦攻击者发现或发生违规行为,您就可以轻松地完全控制您的系统。最初,OpenClaw 代理安装和使用不当会引发几个迹象存在重大安全风险。 1、“快速词注入”风险。通过构建隐藏在网页中的恶意指令,网络攻击者可以诱骗 OpenClaw 读取网页,并可能危及用户的系统密钥。 2.“故障”风险。由于误解用户指令或意图,OpenClaw 可能会永久删除敏感信息,例如电子邮件和关键生产数据。 3. 功能附加组件(技能)成瘾的危险。一些适合OpenClaw的功能插件已被识别为恶意插件或存在潜在安全风险。一旦安装,它就可以执行恶意操作,例如窃取密钥或实施特洛伊木马后门软件,将设备变成“肉鸡”。 4. 安全漏洞的风险。迄今为止,OpenClaw 已披露了多个高风险和中风险漏洞。这些漏洞可能导致网络攻击。如果被攻击者利用,可能会导致严重后果,例如h 系统接管以及个人和敏感数据的泄露。对于个人用户来说,可能导致个人数据(照片、文档、聊天记录等)、支付账户、API密钥等敏感信息被盗。对于金融、能源等主要行业来说,可能导致核心业务数据、商业秘密、代码仓库泄露,甚至导致整个业务系统瘫痪,造成难以估量的损失。在实施和应用OpenClaw时,我们建议各部门和个人用户采取以下安全防范措施: 1、加强网络控制,不要将OpenClaw的默认管理端口直接暴露到公共网络,并通过身份认证、访问控制等安全控制对接入服务进行安全管理。严格隔离运行环境,并利用容器等技术来限制OpenClaw的权限过高问题。 2. 更好地控制您的凭据并避免在环境中以明文形式存储密钥ent 变量。建立完善的运营记录审核机制。 3. 严格控制插件的来源,禁用自动更新,并且仅安装来自可信渠道的经过验证签名的扩展。 4、请持续关注安全补丁和更新,更新您的版本,及时安装安全补丁。编辑刘嘉妮