近期,OpenClaw(「小龍蝦」,曾用名Clawdbot、Moltbot)應用下載與使用情況火爆,中國主流雲平台均提供了一鍵部署服務。3月10日,中國國家互聯網應急中心發布關於OpenClaw安全應用的風險提示。
3月13日,國家網路與信息安全信息通報中心再度發布提醒稱,OpenClaw自發布以來,憑借其強大的自動化任務處理能力與開放式外掛程式生態,在全球範圍內引發部署熱潮。大量暴露於互聯網的OpenClaw資產存在重大安全風險,極易成為網路攻擊的重點目標。
國家網路與信息安全信息通報中心監測數據顯示,目前全球活躍的OpenClaw互聯網資產已超20萬個,其中境內活躍的OpenClaw互聯網資產約2.3萬個,呈現爆發式增長態勢,主要集中在北京、上海、廣東、浙江、四川、江蘇等互聯網資源密集區域。
文中指出,OpenClaw在架構設計、默認配置、漏洞管理、外掛程式生態、行為管控等方面存在較大安全風險,一旦被攻擊者利用,可能導致服務器被控制、敏感數據洩露等嚴重安全問題。
安全問題包括,架構設計缺陷多,層層皆可破;默認配置風險高,公網暴露廣;高危漏洞數量多,利用難度低;供應鏈投毒比例高,生態不安全;智能體行為不可控,管控難度大。
針對OpenClaw風險防範建議,國家網路與信息安全信息通報中心提供五點建議:
- 及時升級版本。通過可信來源獲取安裝程序,關注官方安全公告,及時更新至最新版本,及時修復已披露安全漏洞。
- 優化默認配置。僅在本地或內網地址運行,避免綁定公網地址或開放不必要端口,如使用反向代理,需配置身份認證、IP白名單和HTTPS加密。
- 謹慎安裝第三方外掛程式。通過官方渠道獲取第三方技能外掛,避免安裝來源不明的擴展程序。對已安裝插件進行功能審查,發現可疑行為立即卸載。
- 加強帳戶認證管理。啟用身份認證機制,設置高強度密碼並定期更換,避免使用弱密碼。
- 限制智能體執行權限。對AI智能體的操作能力進行必要限制,僅允許執行白名單中的系統命令和操作權限,防止AI智能體被惡意指令利用後對個人終端設備造成實質性破壞。
延伸閱讀:
OpenClaw|打工仔救星定職場威脅?用家、內地和矽谷程式師點睇?
本文獲「香港01」授權轉載。
