【太平洋科技快讯】近日,开源AI智能体OpenClaw( “龙虾”)因可自主完成文件管理、数据处理等任务迅速爆火,尽管有一定安装门槛,仍吸引众多用户使用。但其默认安全配置脆弱,获取的系统权限高,不当使用存在多重风险。
为此国家互联网应急中心发风险提示,可能存在以下风险:
1.攻击者可通过网页构造恶意指令诱导其泄露系统密钥的 “提示词注入” 风险;
2.可能因误解指令删除重要信息的 “误操作” 风险;
3.安装恶意插件后设备被控制、数据被窃取的插件投毒风险;
4.目前公开曝出的多个高中危漏洞被利用后,可能导致系统被控、隐私及敏感数据泄露甚至业务系统瘫痪的漏洞风险。
工信部等机构建议用户强化网络控制,避免将其默认端口暴露公网并隔离运行环境。同时加强凭证管理,避免明文存储密钥并建立日志审计机制。严格管理插件来源,仅从可信渠道安装经签名验证的扩展程序。持续关注补丁更新,及时进行版本升级与安全补丁安装,以保障使用安全。
国家互联网应急中心3月10日发布《关于OpenClaw安全应用的风险提示》
中国信息通信研究院副院长魏亮也在相关采访回应OpenClaw安全使用的关键问题。
魏亮表示,“龙虾” 推动了国内 AI 智能体生态繁荣,但其自主决策、调用系统资源的特性,带来多重安全挑战。即便更新至官方最新版本,仅能修复已知漏洞,无法彻底消除风险。该工具存在指令误解误操作、恶意技能包投毒、配置不当易被攻击等隐患,网络安全需动态防护,不能依赖单一升级。
中国信息通信研究院副院长魏亮回应OpenClaw安全使用的关键问题
他呼吁广大用户尤其是相关部门企事业单位用户审慎使用,发现漏洞与攻击可向工信部漏洞平台报送。对此,魏亮建议用户在使用OpenClaw时需注意:从官方渠道下载最新版,升级前备份数据;严禁暴露至公网,必要时通过 SSH 或 VPN 访问;遵循最小权限原则,禁用管理员权限,关键操作人工审批;谨慎使用技能包,拒绝可疑脚本与密码输入请求;防范钓鱼与劫持,启用日志审计;建立长效机制,及时关注官方预警与漏洞公告。
AI的快速崛起带来工作效率提升和生活便捷,但使用 “龙虾” 等智能体需坚守安全底线,落实 “最小权限、主动防御、持续审计” 原则,养成规范使用习惯,保障网络与数据安全。
粤公网安备 44010602000162号
网友评论