3月10日,国家互联网应急中心就OpenClaw存在的安全隐患发了个风险提示。这之前,因为不当的安装和使用,OpenClaw智能体已经引发了“提示词注入”、“误操作”还有功能插件被投毒等严重问题。为了让大家的安全风险降到最低,国家互联网应急中心建议相关单位和个人要把网络控制强化好,别让OpenClaw默认的管理端口直接暴露在外边。最好用容器技术把运行环境严格隔离起来,这样权限就能限制住。凭证管理也得抓严,千万别在环境变量里明文存密钥;还得建立个完整的操作日志审计机制。插件来源更要管牢,把自动更新功能给关了,只从可信渠道去装那些经过签名验证的扩展程序。而且还得随时盯着补丁更新,把安全补丁及时给装上去。 3月12日,被大家称为“龙虾”的OpenClaw概念股又开始往下掉。当天收盘的时候,智谱跌得挺狠,一度跌超9%,MINIMAX-WP也跌超4%。为了这事,人民日报也出来说话了,说工业和信息化部那边也发过相关提示。中国信息通信研究院副院长魏亮就说了,现在“龙虾”智能体更新的速度实在太快了。虽说升级到最新版本确实能修好已知的漏洞,但这并不代表完全没风险。因为它是个本地运行的AI代理,能自主决策还能调用系统资源,信任边界又不清晰,再加上很多技能包市场还没严格审核过,所以隐患不少。 比如它可能会在调用大语言模型时误解指令内容,直接执行删除这种有害操作。要是用了被植入恶意代码的技能包,那就可能导致数据泄露或者系统被人控制。哪怕你把实例暴露在互联网上或者用管理员权限、明文存密钥这些配置问题解决了,光升级到最新版本也不行。“打补丁”和“升版本”不能当成一劳永逸的保障。魏亮呼吁大家要用“龙虾”的时候得小心点。 要是发现安全漏洞或者攻击事件了,可以第一时间把消息报给工业和信息化部的网络安全威胁和漏洞信息共享平台。按照规定平台会及时处置的。这事责编是叶舒筠,校对是冉燕青。 珠海科技学院、安徽师范大学、江苏师范大学这些高校都下了命令,把OpenClaw给禁了。任何办公设备和网络环境都不准装、不准用。