OpenClaw 最近火得一塌糊涂,央视甚至专门提醒大家,用 AI 养龙虾也要小心安全问题。 就是这么个 AI 智能体,竟然爆出了高危漏洞!它号称不需要指令就能自己干活儿,结果可能因为配置有问题把人坑了。1Password 那边都发现了,有人拿它往 macOS 里塞恶意软件。IT之家消息说,OpenClaw 以前叫过 Clawdbot 和 Moltbot,主打“主动自动化”,不用你发命令,就能自己帮你清理收件箱、订机票、安排日历这些事。网上现在都是养龙虾的人。央视报道说,工信部那边监测到了危险信号,好多 OpenClaw 实例在默认状态下或者配置不对的时候,都特别容易出安全问题。这东西部署的时候信任边界模糊,自己还能一直跑、自己做决定、调用系统资源和外面的东西。要是权限管得不严、没有审计机制、也没加固一下,很容易被人骗、或者被恶意接管,然后越权操作,搞出泄露信息或者系统被控制的事儿。建议大家用之前一定要好好查查公网暴露情况、权限配置还有凭证管理,把不用的公网访问关了,再把身份认证、访问控制、数据加密和审计这些机制给弄好。还得时刻盯着官方发的安全公告。 其实 IT 之家之前早就说了,密码管理工具 1Password 在今年 2 月 2 号的文章里提到过。他们发现有黑客利用 OpenClaw 给 macOS 用户发病毒。手法挺巧妙的,黑客盯上了那个叫“Skills”的文件。本来这些 Markdown 格式的文件是让 AI 学新本事的,结果被坏人伪装成了合法的教程文档。这个 OpenClaw 可真是个危险的存在。