国内首份《OpenClaw生态威胁分析报告》是3月16日在北京发布的,那时候奇安信搞了个龙虾安全产品发布会,专门把话题聚焦在OpenClaw这种AI智能体爆火带来的新问题上。因为这个玩意儿长得太快了,奇安信董事长齐向东就直接点名说,它在改变生产力的同时,终端失控、数据泄露这些安全事故也跟着冒出来,搞得大家想用AI又不敢用。齐向东觉得老一套的安全防护手段已经跟不上节奏了,大家都缺着“看不清、管不住”的本事。所以,他强调必须给咱们自己建一套新的防护体系。 发布会上,奇安信X实验室的柯强详细讲了讲那份报告。报告里说,OpenClaw生态里的“Skills”技能模块增长得特别猛。全球四大平台上现在已经有将近75万个Skills了,每天还能新增2.1万个,天天的增长率都在2%到3%之间跑。照这个速度算下去,用不了一年总数就要突破800万。要是没人管着这么一大坨东西往外疯长,那风险肯定收不住。 再看漏洞这块儿,报告里说全球范围已经有20471个OpenClaw实例被发现可能有漏洞了,它们覆盖了13643个IP地址。差不多9%暴露在网上的OpenClaw资产都有风险。这些要是被坏人利用了,信息泄露、系统被控制那是分分钟的事。报告里还画了张全球分布图,“龙虾”长得最茂盛的地方是美国和中国。国内看下来,北京、上海、广东、中国香港和浙江这些地方因为经济发达、环境活跃,成了“养虾潮”的核心地带。 另外,报告还专门扒了扒Skills的安全风险。现在因为“龙虾”火了,“Skills供应链投毒”的人也多起来了。恶意的Skills通过提示词注入、远程代码执行这些手段来搞事,危害不小。