在3月16日这天,奇安信在北京搞了个叫龙虾安全产品的发布会,专门聊聊那个爆火的AI智能体OpenClaw。他们放出了国内首份《OpenClaw生态威胁分析报告》,董事长齐向东就说,虽然这玩意长得快、能干活,但是乱七八糟的安全问题也跟着冒头了,像终端失灵、数据泄密、信用卡被刷这种事,搞得好多机构想用又不敢用。齐向东还吐槽说,老一套的安全手段现在肯定是跟不上趟了,现在最大的短板就是既看不清局面,也管不住风险。 报告里的数据也挺吓人,那个叫Skills的技能模块发展得简直像坐火箭,全球四大平台上的Skills数量眼看就要到75万个了。这东西一天就能长出2.1万个新模块,增长速度一直保持在2%到3%的高位。照这个劲儿下去,只要一年时间,总量就能冲到800万大关。柯强当时就说了,如果管不好这些乱七八槽的模块,搞不好安全风险就会在短时间内彻底失控。 关于漏洞方面,全球范围内发现的OpenClaw实例可能有20471个是存在风险的,涉及到13643个IP地址。这意味着有接近9%的OpenClaw资产已经暴露在互联网上了。这些漏洞要是被坏人利用了,后果肯定不堪设想。 报告里还列出了一张OpenClaw生态在全球的分布图。论热度和规模,美国和中国排在了前两名。在中国的话,北京、上海、广东、中国香港还有浙江这些地方成了热门地段。 最后柯强还聊到了Skills供应链的问题。因为现在OpenClaw太火了,Skills供应链被投毒的情况也挺多。坏人用提示词、远程执行代码或者数据窃取这些招数来搞用户。