国家互联网应急中心发出警报,指出OpenClaw应用存在严重安全隐患。 3月10日,中心针对OpenClaw的安全风险做了专门提醒。据了解,这个应用曾经叫“小龙虾”,又叫Clawdbot、Moltbot,最近的下载和使用量猛增。国内几大云平台都给用户提供了一键部署这个程序的服务。这是一个智能体软件,能听懂自然语言指令,直接控制计算机干活。为了让它完成任务,给它开放了很多权限,比如读取本地文件、看环境变量、调用外部API还有安装扩展等。 但问题在于,它的默认设置里漏洞很多。一旦被黑客利用,系统的控制权可能就没了。 国家互联网应急中心给单位和个人提了几条建议:第一,要好好管理网络端口,别让OpenClaw的默认管理端口直接暴露在公网上。得搞身份认证、访问控制这类安全措施来管它;还得把运行环境严格隔离开来,用容器技术限制一下它的高权限。第二,管管好账号和密码,别傻乎乎地把密钥明文写在环境变量里;还要建立一套完整的操作日志来查问题。第三,对插件要盯紧点来源,关掉自动更新功能;只从可信渠道下载那种签过名的扩展程序。第四,得一直盯着补丁发布情况,赶紧更新版本和安装安全补丁。(央广财经)