3月10日,国家互联网应急中心给咱们发了提示,说OpenClaw这款软件现在已经曝出好多高中危漏洞了。以前这个软件叫Clawdbot或者Moltbot,最近特别火,国内的主流云平台都给它准备了一键部署的服务。这玩意儿特厉害,直接根据你的自然语言指令就能操纵电脑干事儿,为了让它能自己执行任务,开发的时候就给了它很高的权限,比如能访问本地文件、看环境变量、调用外部的API接口,甚至还能装扩展功能。 不过它有个很大的问题,就是默认的安全配置特别脆弱,要是被坏人找到了缺口,系统就完了。以前就有人因为没装好或者用错了,闹出过不少乱子:第一种是“提示词注入”,坏人在网页里藏点坏指令,OpenClaw一打开网页就中招,直接把你的系统密钥给泄了;第二种是“误操作”,它有时候理解错了你的意思,把你重要的邮件、生产数据全给删掉了;第三种是功能插件的事儿,有些插件是坏的或者有风险,装上了以后能偷钥匙、装后门;第四种就是漏洞本身的问题了。 对咱们个人来说,这意味着隐私照片、聊天记录、支付账号和API密钥都不安全了;对金融、能源这些关键行业来说,核心数据和商业机密泄露那更是灾难性的后果。 国家应急中心建议大家在部署和用这个软件的时候得小心点: 第一,别把管理端口直接暴露在公网上,得加个认证和控制,把运行环境隔离一下; 第二,别把密钥明明白白写在环境变量里; 第三,插件来源得管严了,别自动更新,只装信得过的带签名的程序; 第四,没事多看看有没有新补丁赶紧打上去。