国家互联网应急中心最近发了个通告,3月10日那天特别提醒大家注意OpenClaw这个应用的安全风险。你看看现在,这款叫“小龙虾”的软件,也就是以前的Clawdbot和Moltbot,下载量和使用量都特别高,国内的大云平台都在推一键部署服务。 这软件最特别的地方在于,你直接给它下指令,它就能用自然语言操控你的电脑干活。为了能自动执行任务,它被给了很高的系统权限,能读本地文件、看环境变量、调外部的API接口,还能装扩展。 问题来了,这东西默认的安全配置特别脆弱,一旦被黑客找到路子,系统就完蛋了。之前已经有好多因为安装或使用不当出的大事故: 第一个就是“提示词注入”。黑客在网页里藏个恶意指令,诱骗OpenClaw去读取,可能就把你的系统密钥给泄了。 第二个是“误操作”。它可能会误解你的指令,把邮件、核心数据全给删了。 第三个是插件投毒。不少给OpenClaw用的插件被证实是恶意的或者有安全隐患,装上后能偷偷偷密钥、放后门,让设备变成“肉鸡”。 第四个是安全漏洞。到现在为止,OpenClaw已经曝出来好多高中危漏洞了,要是被坏人利用了,轻则隐私数据没了,重则金融能源这种关键行业的核心机密泄露,甚至整个业务系统都瘫痪。 所以建议大家,部署或者用这玩意儿的时候得小心点: 1. 别把管理端口直接放公网上了,要通过认证、访问控制这些手段管起来;把运行环境和外面严格隔离开来; 2. 把凭证管好,别在环境变量里明文放密钥; 3. 搞个完整的日志审计机制; 4. 多盯着补丁和更新,及时把版本升级了。