3月13日那天,香港特区政府负责AI政策的数字政策办公室给各部门发了个提醒,说是OpenClaw这种开源智能体框架在安全上有不少不确定性。同一天,国家网络与信息安全信息通报中心也在官网放出了风险预警,指大量暴露在互联网上的OpenClaw资产风险极大,很容易成为网络攻击的靶子。 到了3月15日,中国互联网金融协会也在官微上发文提示大家,虽然OpenClaw能帮忙提升工作效率,但因为它默认系统权限太高、安全配置又弱,特别容易被黑客利用。协会建议消费者在办理网上银行、证券交易或者支付这些业务时,一定要万分小心别装这东西;如果实在要装,也得别给它那些金融系统的操作权限,还得及时补漏洞、严控插件。 河南医药健康技师学院、山西应用科技学院和甘肃钢铁职业技术学院这几所高校最近也都先后发了通知,严禁在校园网里用OpenClaw,已经装了的部门或教职工必须马上彻底删掉。就在这一系列警示之后的3月16日,香港个人资料私隐专员公署(简称“私隐专员公署”)再次发文指出,OpenClaw这种代理式AI的权限过高,它能读写本地文件、调用系统资源、操作外部服务,甚至能自己处理邮件或者订饭这些事情,过程里根本不需要人看着。 私隐专员公署列举了三个主要风险点:一是权限过高可能让资料大规模泄露;二是系统要是有漏洞很容易成为攻击突破口;三是第三方插件里可能藏着恶意代码。为了应对这些情况,公署建议大家给OpenClaw授予最小权限,用最新的官方版本,安装插件或者技能的时候也要小心谨慎。 每经记者李旭馗和编辑毕陆名对此进行了梳理报道。