|
|
朋友,既然来了,加入我们的大家庭呗~
您需要 登录 才可以下载或查看,没有账号?立即注册
×
新京报讯 3月10日,国家互联网应急中央发布关于OpenClaw安全应用的风险提示。
0 X1 ?2 S- m/ z5 S- N) I6 h. k近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与利用环境火爆,国内主流云平台均提供了一键摆设服务。此款智能体软件依据天然语言指令直接操控盘算机完成相干操纵。为实现“自主实行使命”的本领,该应用被授予了较高的体系权限,包罗访问当地文件体系、读取情况变量、调用外部服务应用步伐编程接口(API)以及安装扩展功能等。然而,由于其默认的安全设置极为脆弱,攻击者一旦发现突破口,便能容易获取体系的完全控制权。
+ o' q5 Q3 w- z# s前期,由于OpenClaw智能体的不妥安装和利用,已经出现了一些严峻的安全风险:0 q( z- A" n- D4 h! }3 ?
1.“提示词注入”风险。网络攻击者通过在网页中构造隐蔽的恶意指令,诱导OpenClaw读取该网页,就大概导致其被诱导将用户体系密钥泄漏。
' X% s9 r& L" V3 O2 @. |2. “误操纵”风险。由于错误的明白用户操纵指令和意图,OpenClaw大概会将电子邮件、焦点生产数据等紧张信息彻底删除。; O2 g% G6 e$ [* B& n) L" q$ S0 J
3.功能插件(skills)投毒风险。多个实用于OpenClaw的功能插件已被确以为恶意插件或存在潜伏的安全风险,安装后可实行盗取密钥、摆设木马后门软件等恶意操纵,使得装备沦为“肉鸡”。% G/ ^$ c: U# Z- \5 g- I
4.安全毛病风险。停止现在,OpenClaw已经公开曝出多个高中危毛病,一旦这些毛病被网络攻击者恶意使用,则大概导致体系被控、隐私信息和敏感数据泄漏的严峻结果。对于个人用户,可导致隐私数据(像照片、文档、谈天记载)、付出账户、API密钥等敏感信息遭盗取。对于金融、能源等关键行业,可导致焦点业务数据、贸易秘密和代码堆栈泄漏,乃至会使整个业务体系陷入瘫痪,造成难以估量的丧失。- q$ ~3 s& r' C: b: @ s
发起相干单元和个人用户在摆设和应用OpenClaw时,接纳以下安全步伐:
6 `, S+ g# k( f( S& Q# |1.强化网络控制,不将OpenClaw默认管理端口直接袒露在公网上,通过身份认证、访问控制等安全控制步伐对访问服务举行安全管理。对运行情况举行严酷隔离,利用容器等技能限定OpenClaw权限过高题目;" [" d3 x9 l6 d, Z) ^
2.增强凭据管理,制止在情况变量中明文存储密钥;创建完备的操纵日记审计机制;
. ~% ]) _+ l9 R3.严酷管理插件泉源,禁用主动更新功能,仅从可信渠道安装颠末署名验证的扩展步伐。1 N1 L$ m; _3 Y" H
4.连续关注补丁和安全更新,实时举行版本更新和安装安全补丁。
. `. \; Y4 Z) B9 r编辑 刘佳妮 |
|
发表于 
置顶卡
变色卡
千斤顶
发表于 
发表于 
