互聯(lián)網(wǎng)應(yīng)急中心發(fā)布OpenClaw風險提示警惕高危漏洞與安全風險

小大

用微信掃描二維碼
分享至好友和朋友圈

關(guān)鍵詞：

2026-03-10 19:40:45 人民日報

近期，OpenClaw（“小龍蝦”，曾用名Clawdbot、Moltbot）應(yīng)用下載與使用情況火爆，國內(nèi)主流云平臺均提供了一鍵部署服務(wù)。這款智能體軟件能夠依據(jù)自然語言指令直接操控計算機完成相關(guān)操作。為實現(xiàn)“自主執(zhí)行任務(wù)”的能力，該應(yīng)用被授予了較高的系統(tǒng)權(quán)限，包括訪問本地文件系統(tǒng)、讀取環(huán)境變量、調(diào)用外部服務(wù)應(yīng)用程序編程接口（API）以及安裝擴展功能等。然而，由于其默認的安全配置極為脆弱，攻擊者一旦發(fā)現(xiàn)突破口，便能輕易獲取系統(tǒng)的完全控制權(quán)。

前期，由于OpenClaw智能體的不當安裝和使用，已經(jīng)出現(xiàn)了一些嚴重的安全風險。例如，“提示詞注入”風險，網(wǎng)絡(luò)攻擊者通過在網(wǎng)頁中構(gòu)造隱藏的惡意指令，誘導OpenClaw讀取該網(wǎng)頁，就可能導致用戶系統(tǒng)密鑰泄露?！罢`操作”風險也值得關(guān)注，錯誤理解用戶操作指令和意圖可能導致重要信息如電子郵件、核心生產(chǎn)數(shù)據(jù)被徹底刪除。此外，多個適用于OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險，安裝后可執(zhí)行竊取密鑰、部署木馬后門軟件等惡意操作，使得設(shè)備淪為“肉雞”。目前，OpenClaw已經(jīng)公開曝出多個高中危漏洞，一旦這些漏洞被網(wǎng)絡(luò)攻擊者利用，則可能導致系統(tǒng)被控、隱私信息和敏感數(shù)據(jù)泄露。對于個人用戶，這可能意味著隱私數(shù)據(jù)如照片、文檔、聊天記錄、支付賬戶、API密鑰等敏感信息遭竊取。對于金融、能源等關(guān)鍵行業(yè)，可能會導致核心業(yè)務(wù)數(shù)據(jù)、商業(yè)機密和代碼倉庫泄露，甚至使整個業(yè)務(wù)系統(tǒng)陷入癱瘓，造成難以估量的損失。

建議相關(guān)單位和個人用戶在部署和應(yīng)用OpenClaw時采取以下安全措施：強化網(wǎng)絡(luò)控制，不將OpenClaw默認管理端口直接暴露在公網(wǎng)上，通過身份認證、訪問控制等安全控制措施對訪問服務(wù)進行安全管理；對運行環(huán)境進行嚴格隔離，使用容器等技術(shù)限制OpenClaw權(quán)限過高問題；加強憑證管理，避免在環(huán)境變量中明文存儲密鑰；建立完整的操作日志審計機制；嚴格管理插件來源，禁用自動更新功能，僅從可信渠道安裝經(jīng)過簽名驗證的擴展程序；持續(xù)關(guān)注補丁和安全更新，及時進行版本更新和安裝安全補丁。

(責任編輯：0764)

關(guān)閉

互聯(lián)網(wǎng)應(yīng)急中心發(fā)布OpenClaw風險提示 警惕高危漏洞與安全風險

相關(guān)新聞

今日熱點

頻道熱點

互聯(lián)網(wǎng)應(yīng)急中心發(fā)布OpenClaw風險提示警惕高危漏洞與安全風險