OpenClaw这个AI现在火得一塌糊涂,连央视都发通告提醒大伙,养它可得小心点安全问题。主要是它那个主动自动化的特性太猛了,不用你手动去操作,自己就能把收件箱给清理干净、帮你订机票、管日历啥的。现在网上到处都是养龙虾的人。 工业和信息化部那边也说啦,这个叫OpenClaw的开源智能体(之前还叫Clawdbot或者Moltbot),在默认设置或者配置不当的时候,安全风险非常高。它部署的时候信任边界搞得很模糊,而且能自己一直运行、自主做决定、调用系统资源。要是权限没管好、审计机制也没跟上,很容易被黑客通过指令诱导或者漏洞接管。一旦出事,信息泄露、系统被别人操控这种事儿就全来了。 建议大家在用OpenClaw的时候,先检查一下公网访问的口子有没有开得太大、权限设得对不对、凭证管得严不严。该关的关了,身份认证、访问控制、数据加密这些安全机制得赶紧补上。平时多盯着官方发的安全公告看。 IT之家之前报道过,2月份的时候有个叫1Password的密码管理工具发现了一件事。有黑客拿OpenClaw做幌子,往macOS用户那边发恶意软件。他们是利用了OpenClaw的“技能”(Skills)文件来干坏事的。本来这些Markdown格式的文件是教AI学新本事的,结果被黑客包装成了合法的教程教程教程教程。