最近呢,OpenClaw这个AI项目突然就火起来了。央视也特意提醒大家,在用AI养龙虾的时候,安全风险还是得留神点。AI导读里说呢,这次爆火的OpenClaw啊,被发现有个很大的漏洞,就是它这只“龙虾”不用主人发指令就能自己乱跑,配置要是弄不好,很容易导致网络攻击和信息泄露,1Password那边也证实了它被用来往macOS上装恶意软件。 这事是IT之家传出来的消息,OpenClaw之前叫Clawdbot、Moltbot,这次算是彻底火了。它最大的卖点就是主动自动化,用户不用管它,它能自己把收件箱清理干净、订服务、管日历啥的。现在网上到处都是想养它的人。 央视新闻今天也报道了,工业和信息化部那边的网络安全平台监测到了这个情况。他们发现如果OpenClaw在默认设置下或者配置不当时,安全风险挺高的,很容易让人入侵或者泄露信息。 这玩意儿在部署的时候信任边界不太清楚,又能一直自己运行、自己做决定、调用系统资源和外部东西。如果没把权限管好、没做好审计和加固措施,那它很容易被人用指令骗了去执行不该干的事,或者因为配置问题被坏人接管了。 给单位还有用户提个醒吧,用OpenClaw之前最好先检查一下是不是暴露在公网上了,权限给没给对,密码管没管好。不必要的外网访问就关了吧。 再加上身份认证、访问控制、数据加密和安全审计这些都得完善好。 其实IT之家以前就报道过了,密码管理工具1Password去年2月份说过这事。他们发现有攻击者利用了OpenClaw的“技能”文件干坏事。这些文件本来是Markdown格式的教程教AI学新任务用的。结果黑客就把它伪装成了合法的集成教程去传播病毒。