近期,定位为“数字员工”的开源智能体框架OpenClaw技术社区快速走红。该框架希望借助大型语言模型实现跨平台复杂任务自动化,但其默认配置存在安全短板,潜在风险随之上升。工业和信息化部网络安全威胁和漏洞信息共享平台监测显示,如果使用和部署不当,OpenClaw可能被利用为网络攻击入口,进而导致信息泄露、远程控制,甚至引发勒索软件感染等问题。分析认为,OpenClaw的隐患主要来自功能设计与安全防护之间的不匹配。一上,为实现“自动化执行”,框架往往需要较高权限;但默认开放端口、访问控制偏宽松,为攻击者提供了机会。另一方面,部分用户为了省事忽略安全加固,更放大了风险。目前,北京建筑大学、华南师范大学等高校已明确禁止在校内设备安装该软件,并通过端口扫描、沙箱隔离等手段降低潜在威胁。针对该情况,NVDB于2月5日和11日先后发布《预警提示》及“六要六不要”安全建议,强调“先查暴露、再谈部署”。建议措施包括关闭非必要端口映射、设置访问白名单、定期排查异常进程等。对已安装用户,官方也给出卸载指引,要求彻底移除涉及的组件并更新API密钥,确保系统清理到位。业内专家指出,开源工具的快速普及说明了技术创新的速度,也对安全治理提出更高要求。未来,有关部门或需改进开源软件安全评估标准,推动功能与安全同步纳入规范;同时,用户也应加强安全意识,避免因追求便捷而削弱系统稳定性。
新技术的价值在于提升效率,但效率不能以安全为代价;面对能力更强、触达更深的智能体工具,关键不在“用不用”,而在“怎么安全地用”:坚持最小权限,减少不必要的对外暴露,严格区分测试与生产环境,把风险控制前移到部署之前,才能让创新真正服务发展,而不是留下隐患。