问题:随着“智能体”类工具在办公、运维、开发等场景加速落地,OpenClaw(曾用名Clawdbot、Moltbot)近期下载与部署热度攀升,部分云平台提供一键部署服务,降低了使用门槛。
该类应用可依据自然语言指令直接操控计算机执行任务,为实现自动化能力通常被授予访问本地文件、读取环境变量、调用外部接口以及安装扩展功能等较高权限。
国家互联网应急中心监测与研判认为,在不当部署和不规范使用情况下,相关风险已从“可被利用”转向“可被规模化利用”,安全形势值得警惕。
原因:一是高权限与弱配置叠加。
智能体应用往往需要较大系统权限才能完成自动化操作,但若默认配置偏“易用优先”、缺少最小权限设计与隔离措施,一旦管理端口、鉴权机制或运行环境出现短板,攻击者更容易从单点突破扩大控制范围。
二是交互链条更长、攻击面更广。
智能体在“读取网页—理解指令—调用工具—执行动作”的链路中,任一环节被注入恶意内容都可能引发连锁反应。
三是扩展生态带来供应链变量。
功能插件(skills)丰富应用能力的同时,也引入来源复杂、审计不足的第三方代码风险,若缺乏签名校验、权限分级与更新管控,容易成为攻击入口。
四是漏洞治理存在时间差。
公开漏洞从披露到修复、从修复到用户完成升级之间存在窗口期,若叠加公网暴露与弱口令等问题,风险将被放大。
影响:国家互联网应急中心提示,当前主要风险类型包括:其一,“提示词注入”风险。
攻击者可能在网页内容中构造隐蔽指令,诱导应用在访问页面时执行非预期操作,进而导致系统密钥等敏感信息外泄。
其二,“误操作”风险。
应用对指令语义理解出现偏差时,可能触发误删邮件、生产数据等不可逆操作,造成数据损毁与业务中断。
其三,插件投毒风险。
已发现部分适配插件存在恶意行为或潜在隐患,安装后可能窃取密钥、植入后门,使设备沦为被远程操控的“肉鸡”。
其四,安全漏洞风险。
应用已公开曝出多个高中危漏洞,若被恶意利用,可能引发系统被控、隐私与敏感数据泄露等严重后果。
对个人用户而言,照片、文档、聊天记录、支付账户信息及接口密钥等面临被窃取风险;对金融、能源等关键行业而言,核心业务数据、商业机密、代码仓库可能泄露,甚至导致业务系统瘫痪,损失难以估量。
对策:国家互联网应急中心提出多项防护建议。
首先,强化网络边界与访问控制,避免将默认管理端口直接暴露在公网上,结合身份认证、访问控制等措施进行安全管理;同时对运行环境进行严格隔离,采用容器等技术限制权限,落实最小权限原则。
其次,加强凭证与密钥管理,避免在环境变量中以明文方式存储敏感凭证,建立完整的操作日志与审计机制,确保关键操作可追溯、可复盘。
再次,严格管理插件来源,禁用自动更新或在可控条件下更新,仅从可信渠道安装并开展签名验证与安全评估,防止扩展程序成为供应链突破口。
最后,持续关注补丁与安全通告,及时更新版本并安装安全补丁,压缩漏洞可被利用的时间窗口。
前景:业内人士指出,智能体应用在提升效率、降低门槛方面具有明显价值,但其安全治理不能沿用传统单点工具的思路,必须将“可执行能力”纳入更严格的安全框架:一方面,推动默认安全配置“开箱即安全”,减少因便捷部署导致的暴露面;另一方面,建立从模型交互、工具调用、插件生态到运维审计的全链路治理机制,并在关键行业场景中优先落地分级授权、沙箱隔离、双人复核等制度化措施。
随着相关应用规模化进入生产环境,安全能力建设将成为决定其能否“用得好、用得稳、用得久”的关键变量。
OpenClaw的安全风险警示我们,技术创新的同时不能忽视安全底线。
唯有用户、企业与监管方协同努力,方能实现智能化时代的可持续发展。
国家互联网应急中心的此次预警,既是对当前隐患的及时纠偏,也为行业规范发展提供了重要参考。