最近,大家肯定听说了那个叫OpenClaw的软件,它被称作“小龙虾”,以前还叫过Clawdbot和Moltbot。因为它特别火,国内的那些云平台都在推一键部署服务,搞得大家都去下。这个软件能把人说的话变成命令去控制电脑干活,为了让它自己干活方便,给它的权限特别高。 它能访问电脑里的文件、看环境变量、还能调用各种外部服务的API,甚至还能安装插件。但是,它默认的那个安全设置太脆弱了,稍微有个缝,坏人就能把整个系统都给控制了。 因为安装不当和用得不对,之前就出了不少大事:第一个就是提示词注入的风险。如果有人在网页里藏了坏东西,只要OpenClaw一去读,就会被骗着把你的系统密钥泄露出去;第二个是误操作风险,因为它有时候会误会你的意思,可能直接把重要的邮件或者生产数据给删掉;第三个是插件中毒的问题,好多插件其实是坏的,装了之后能偷偷拿走钥匙、装后门,把设备变成“肉鸡”;第四个是漏洞风险。到现在为止,OpenClaw已经被爆出好几个危险的漏洞了。如果被坏人利用了,数据会被偷、隐私会露光,甚至关键行业的整个系统都可能瘫痪。 国家互联网应急中心就在3月10日发了个提示。建议大家在用的时候,得特别小心。首先要把它的管理端口给屏蔽起来,别暴露在外面;还要用容器把它和其他环境隔离一下;别在环境变量里明文放密钥;要建个完整的日志来查账;最后要盯着补丁更新的消息,及时把软件升级到最新版本。