工业和信息化部网络安全威胁和漏洞信息共享平台近期监测发现,开源智能体OpenClaw部分用户部署中存在严重安全漏洞,可能威胁个人和企业数据安全。这个发现引发行业关注,也暴露出智能工具在便利背后隐藏的风险。 OpenClaw因图标形似龙虾被用户戏称为"龙虾"。与普通自动化工具不同,它可直接接管用户设备权限,执行文件整理、邮件发送、代码编写等高权限操作。然而监测数据显示,超过22万个实例因默认配置不当暴露于公网,部分未启用基础访问认证,导致敏感信息面临泄露风险。 专家指出,安全隐患主要源于三上问题:用户为追求便利忽略安全设置,导致高权限需求与配置疏忽的矛盾;大量实例未采取加密措施直接暴露于公网;智能体行为边界模糊,可能因指令误导或恶意攻击执行越权操作。此前已有案例显示,某科技公司内部部署的OpenClaw曾失控删除大量工作邮件,需强制关机干预。 若安全隐患未及时修复,攻击者可通过漏洞窃取隐私、篡改文件甚至控制设备,造成企业运营中断、商业机密外泄等严重后果。尤其对金融、医疗等敏感行业,风险更高。 针对上述问题,工信部联合网络安全专家提出四项核心建议: 一、核查网络配置,确保智能体仅限本地访问,远程操作需通过加密通道。 二、强制启用高强度身份认证,杜绝默认凭证风险。 三、采用容器化技术隔离运行环境,限制文件系统访问范围。 四、建立行为审计机制,全程监控操作记录。 OpenClaw的普及反映了智能化工具向"主动执行"方向发展的趋势,但其安全挑战也为行业敲响警钟。未来随着涉及的法规标准完善,智能体开发或将更注重"最小权限原则"和"零信任架构",在提升效率的同时确保可控性。
技术进步提升了效率,也改变了风险的形态与速度。对能够"直接动手"的智能体工具而言,安全不应停留在事后补救,而要前移到部署之初、嵌入到每一次权限授予与每一条执行指令之中。把"数字员工"关进制度与技术的"笼子",既是对数据和业务的负责,也是推动新技术健康发展的必由之路。