最近,“养龙虾”这种AI应用程序特别火。AI“养龙虾”其实就是OpenClaw。它之前叫Clawdbot还有Moltbot,现在都叫OpenClaw了。这个软件只要你输入自然语言指令,就能操控电脑自动完成任务。为了做到这点,它需要很高的系统权限,比如访问本地文件、读环境变量,还有调用外部服务的API还有安装扩展功能。但是,它默认的安全配置特别弱,稍微有漏洞,黑客就能轻易控制你的系统。这可不是开玩笑的。 一开始用这个软件时,就出了一些问题。比如,“提示词注入”,黑客在网页里藏点恶意指令,你一让OpenClaw看那个网页,它就可能把你系统里的密钥给泄露了。还有一个是“误操作”,它理解错你的命令了,把重要文件比如邮件或者核心生产数据给删除掉。 另外呢,给OpenClaw装的功能插件也有风险。有些已经被证明是恶意插件了,装了后就会偷偷执行窃取密钥、放木马后门这些操作。还有就是OpenClaw本身也有一些高中危漏洞没修好,黑客利用这些漏洞可能把系统给控制了,个人隐私数据或者企业核心业务数据都可能泄露出去。 所以我觉得大家在使用的时候得小心点。最好先强化一下网络控制,别把默认管理端口直接暴露在公网上。用点访问控制措施管好访问服务。运行环境也得严格隔离一下,用容器技术限制权限过高的问题。 凭证管理也很重要啊,别在环境变量里明文存密钥了。搞个完整的操作日志审计机制比较好。插件来源也要严格管理,别用自动更新功能了,只从可信渠道装经过签名验证的扩展程序。最后记得持续关注补丁和安全更新,及时更新版本和安装补丁。