3月8日,工信部的网络安全威胁和漏洞信息共享平台发布了预警,说OpenClaw部分实例在默认或配置不当的情况下,存在很高的安全风险。3月10日,国家互联网应急中心又出来提示,说这个工具默认的配置太脆弱,权限给得太高了,容易造成网络和数据的隐患。国家互联网应急中心还搞了个OpenClaw安全使用实践指南,想给大家提个醒。这次指南的内容很丰富,里面提到OpenClaw被大家叫做“7×24小时工作的AI员工”,能抓取数据、分析信息、生成内容,一整套工作流程它都能自己搞定。 这种工具用起来确实方便,但是它默认的安全设置太差了。只要攻击者找到一个口子,就能轻松拿到系统的控制权。2026年3月初,有个叫OpenClaw Exposure Watchboard的监控页面列出来超过22万个暴露在公网上的实例。这些实例因为配置不当或者就是默认状态,都有很高的安全风险。 为了这事,国家互联网应急中心和中国网络空间安全协会就在3月22日联合发布了这个指南。针对不同的人群,他们提了不少建议。给普通用户的建议是:最好用专门的设备、虚拟机或者容器来安装OpenClaw,还要做好环境隔离,别直接在日常办公电脑上安;也别用管理员或者超级用户的权限来运行它;别在它的环境里存隐私数据;还有就是及时更新到最新版本。 对于云服务商来说,建议他们做好云主机基础层面的安全评测和加固;还有安全防护能力的部署和接入;还有供应链和数据安全的防护。至于技术开发者那边,也得跟着一起注意这些安全问题。 工信部还说这次一定要重视起来。这个软件既然能自主执行任务,那它就得要很高的权限来调动本地资源。这样一来,设备里的敏感信息在它面前就像透明的一样了。一旦配置不对或者被坏人利用了,误删文件、泄露数据这些事就都有可能发生。所以说还是得按照指南里的建议去做。