最近国家互联网应急中心发现,“小龙虾”这个软件在国内的云平台都能一键部署,大家用得特别火。这软件叫OpenClaw,以前也叫Clawdbot和Moltbot,它能通过自然语言指令直接控制电脑干活。为了让它能自动执行任务,开发者给它开了很高的系统权限,比如看本地文件、调用API甚至安装扩展功能。但这软件默认的安全配置很差,只要被黑客找到漏洞,就能轻松拿住系统的控制权。 之前因为安装和使用不当,“小龙虾”已经闹出过不少乱子: 第一个风险是“提示词注入”。如果网页里藏着恶意命令,“小龙虾”读了网页就可能泄露用户的系统密钥。 第二个是“误操作”。它有时候会听错指令,比如把重要的邮件或生产数据给全删了。 第三个是功能插件投毒。很多插件被查出是恶意的或者有风险,装了这些插件,黑客就能搞密钥、放木马,把机器变成“肉鸡”。 第四个是安全漏洞。到现在为止,“小龙虾”已经公开了好些高中危漏洞,要是被人利用了,系统可能就被控制了,隐私和数据也不保。 对于普通用户来说,可能照片、文档、聊天记录、支付账户还有API密钥都会被偷走;对于金融、能源这些行业来说,核心业务数据、商业机密都可能泄露,甚至让整个系统瘫痪。 为了安全起见,大家部署的时候可以采取以下措施: 1. 把网络管好别把默认端口直接露在公网上,用身份认证和访问控制来管访问。给环境做严格隔离,用容器技术限制它的权限。 2. 别把密钥明文写在环境变量里;把操作日志都记录下来以便审计。 3. 经常关注补丁和更新,发现了赶紧装。