国家互联网应急中央发布关于OpenClaw安全应用的风险提示 ...

天晴的空

  原标题：关于OpenClaw安全应用的风险提示
7 A& s" }& B9 m+ d% y  近期，OpenClaw（“小龙虾”，曾用名Clawdbot、Moltbot）应用下载与利用环境火爆，国内主流云平台均提供了一键摆设服务。此款智能体软件依据天然语言指令直接操控盘算机完成相干操纵。为实现“自主实行使命”的本领，该应用被授予了较高的体系权限，包罗访问当地文件体系、读取情况变量、调用外部服务应用步伐编程接口（API）以及安装扩展功能等。然而，由于其默认的安全设置极为脆弱，攻击者一旦发现突破口，便能容易获取体系的完全控制权。
  前期，由于OpenClaw智能体的不妥安装和利用，已经出现了一些严峻的安全风险：
( w7 T! S5 M6 l/ ^$ R5 t1 W  1.“提示词注入”风险。网络攻击者通过在网页中构造隐蔽的恶意指令，诱导OpenClaw读取该网页，就大概导致其被诱导将用户体系密钥泄漏。
* [( d; i$ m* i$ `6 s  2. “误操纵”风险。由于错误的明白用户操纵指令和意图，OpenClaw大概会将电子邮件、焦点生产数据等紧张信息彻底删除。
: z: F$ z# `: p2 @( }  3.功能插件（skills）投毒风险。多个实用于OpenClaw的功能插件已被确以为恶意插件或存在潜伏的安全风险，安装后可实行盗取密钥、摆设木马后门软件等恶意操纵，使得装备沦为“肉鸡”。
; m; G% z* O+ t' X3 U  4.安全毛病风险。停止现在，OpenClaw已经公开曝出多个高中危毛病，一旦这些毛病被网络攻击者恶意使用，则大概导致体系被控、隐私信息和敏感数据泄漏的严峻结果。对于个人用户，可导致隐私数据（像照片、文档、谈天记载）、付出账户、API密钥等敏感信息遭盗取。对于金融、能源等关键行业，可导致焦点业务数据、贸易秘密和代码堆栈泄漏，乃至会使整个业务体系陷入瘫痪，造成难以估量的丧失。
  发起相干单元和个人用户在摆设和应用OpenClaw时，接纳以下安全步伐：
  1.强化网络控制，不将OpenClaw默认管理端口直接袒露在公网上，通过身份认证、访问控制等安全控制步伐对访问服务举行安全管理。对运行情况举行严酷隔离，利用容器等技能限定OpenClaw权限过高题目；
4 M1 J* S: k% A+ s  2.增强凭据管理，制止在情况变量中明文存储密钥；创建完备的操纵日记审计机制；
  3.严酷管理插件泉源，禁用主动更新功能，仅从可信渠道安装颠末署名验证的扩展步伐。
$ U$ T6 N8 l6 q  d5 y* j4 d  4.连续关注补丁和安全更新，实时举行版本更新和安装安全补丁。