最近“养龙虾”的APP火得不行,官方都出来提示风险了!这个叫OpenClaw(之前叫过Clawdbot、Moltbot)的工具,下载和用的人特别多,国内很多大平台都给它弄了一键部署服务。这款软件能干啥呢?就是听你的话,直接操作电脑去办事。为了让它能自己干活,大家都把系统权限给得挺大,能看本地文件、读环境变量、调用API接口、还能装扩展插件。 可是它的默认设置太弱了,要是被坏人抓住把柄,一下子就能拿完全控制权。前段时间就出了一堆事儿:有黑客在网页里藏指令,诱使OpenClaw去读网页,结果把系统密钥给漏了出去;或者它听错了指令,把重要邮件、生产数据全给删了;有的插件还是毒的,一装上就偷密钥、装木马;还有好几个中高风险的漏洞,一旦被人利用,隐私和数据就全完了。 个人用的话,照片、聊天记录、账号密码、API密钥都可能被偷;要是金融、能源这种关键行业,核心数据和代码仓库要是丢了,系统瘫痪了,损失可就没法算了。大家在部署的时候得注意这几点: 第一,别把它的管理端口随便暴露在外网上。加个密码锁,让外人进不来。 第二,别把密钥直接放在环境变量里,明码写出来谁都看得见。 第三,插件别随便装,只从信得过的地方装经过验证的程序。 第四,没事儿就去官网看看有没有新补丁,及时升级修复漏洞。