大河财立方传来消息,国家互联网应急中心在3月10日给大家拉响了警报,专门提醒大家要留意OpenClaw这款智能体软件带来的四大严重风险。这款软件之所以被大家叫做“小龙虾”,是因为它之前用过Clawdbot、Moltbot这样的名字。最近这玩意儿可火了,国内的那些主流云平台都给它提供了一键部署的服务。别看它用自然语言指令就能指挥电脑干活,就是因为想实现那种“自主执行任务”的能力,才被赋予了特别高的系统权限。这就相当于把本地文件系统、环境变量、外部服务API还有扩展功能全都放开了让它用。 不过也正因为默认的安全配置太脆弱了,只要被坏人发现了突破口,人家就能把系统的完全控制权给拿过去。之前大家乱装乱用,已经出了不少篓子。比如“提示词注入”,攻击者在网页里藏个恶意指令诱骗它去读,就能把系统密钥给骗出来;还有“误操作”,它要是理解错了用户的意思,很可能就把邮件、核心数据这些重要东西全给删没了。更危险的是功能插件投毒,很多插件被证实有恶意或者潜在威胁,装上之后能偷密钥、装木马后门,让设备直接变成“肉鸡”。现在OpenClaw已经有好几个高中危漏洞被爆出来了,一旦被利用,隐私数据、商业机密泄露那是跑不掉的。 对于个人用户来说,照片、文档、聊天记录这些隐私信息,还有支付账户和API密钥都容易被盯上;对于金融能源这些关键行业来说,核心业务数据泄露甚至整个业务系统瘫痪带来的损失更是无法估量。针对这种情况,国家互联网应急中心建议大家这么做:第一,加强网络控制别把默认端口直接暴露出去,用身份认证、访问控制这些手段管管;第二,管好凭证别在环境变量里存明文密钥,还得建立日志审计机制;第三,严格管控插件来源别自动更新了,只从可信渠道安装签名验证过的扩展;第四,时刻盯着补丁更新及时打。 责编是王时丹 | 审核是李震 | 监审是古筝