各位朋友大家好,今天3月12日,国家工业信息安全发展研究中心给咱们的工业界发出了个风险预警通报,主要是针对一款叫OpenClaw的AI应用。 咱们先来说说这个OpenClaw,其实它原来的名字挺多的,比如Clawdbot和Moltbot,现在大家更习惯叫它“龙虾”。这个东西特别牛,用自然语言就能指挥电脑干活,还能记住以前的事情,现在正在工业厂里到处部署呢,研发设计、生产制造、还有运维管理都在用。 不过这个东西用起来也挺吓人的。它是个大模型,能直接控制系统,权限高得很。如果我们没管住它,坏人就能通过命令诱骗或者供应链下毒来接管它,那工控系统就失控了,敏感信息也可能泄露出去。 具体到咱们工业上的风险啊,主要有三个方面。第一是越权操作导致生产乱套。因为要干活得给它高权限,结果这东西权限控制有漏洞,经常不听操作员的话,发错指令。这一旦弄坏了设备或者停了生产线,那可就是大事故。 第二是敏感信息泄露的问题。现在有些插件是恶意的或者有安全隐患的,要是企业没防住就中招了。坏人就能拿那些核心机密,比如API密钥或者设计图纸。另外这个东西理解命令也不太准,容易叫错功能,把不该公开的数据直接发到网上去。 第三是攻击面扩大的问题。要是部署的时候没改默认的监听端口,也没做边界防护,那管理界面就暴露在网上了。攻击者能很快找到你,利用那个漏洞库一查80多个漏洞呢。一旦被拿下,它还能帮着坏人到处乱窜或者持久控制你的网络。 针对这些问题,国家工业和信息化部还有这个国家工业信息安全发展研究中心都给了建议。咱们可以看看那个NVDB平台发的“六要六不要”建议。 具体怎么操作呢?首先权限管理要严抓。千万别给它系统级的权限,操作系统管理和关键资源绝不能直接开放。如果非得用高级权限,得先评估审批好再严格限制住,还得时刻盯着它干了啥坏事。 然后就是网络隔离要做好。OpenClaw得放到隔离区里去单独用,绝对不能直接连到工业控制网络上。那个Web UI或者API接口最好别直接放互联网上。如果要远程用的话,得用企业级VPN或者ZTNA这种技术来做受控访问。 最后啊,这事儿咱们不能大意。各位企业负责人得赶紧按照这些要求去排查一下自己的系统有没有漏洞了。