2026-04-19
【JIUYOU科技动静】3月10日,国度互联网应急中央针对于当下热点的OpenClaw(别号“小龙虾”,曾经用名Clawdbot、Moltbot)运用发布安全危害提醒。该运用依附依据天然语言指令直接操控计较机完成操作的功效,下载与利用环境异样火爆,海内主流云平台还有为其提供了一键部署办事。不外,其暗地里隐蔽的安全问题不容小觑。
为实现“自立履行使命”,OpenClaw被授予较高体系权限,涵盖拜候当地文件体系、读取情况变量、挪用外部办事API以和安装扩大功效等。但因其默许安全配置懦弱,进犯者一旦找到冲破口,就能容易获取体系彻底节制权。
今朝,因为不妥安装及利用OpenClaw,已经呈现多种严峻安全危害。“提醒词注入”危害方面,收集进犯者可于网页中组织隐蔽歹意指令,引诱OpenClaw读取,进而泄露用户体系密钥;“误操作”危害上,它可能因过错理解用户指令,误删电子邮件、焦点出产数据等主要信息;功效插件(skills)投毒危害也不容轻忽,多个合用在该运用的功效插件被证明为歹意插件或者存于潜于危害,安装后可能窃取密钥、部署木马后门,让装备沦为“肉鸡”;此外,OpenClaw已经公然曝出多个高中危缝隙,若被进犯者使用,小我私家用户隐私数据、付出账户、API密钥等敏感信息可能被偷取,金融、能源等要害行业则可能面对焦点营业数据、贸易秘要及代码堆栈泄露,甚至营业体系瘫痪的严峻后果。
为此,国度互联网应急中央建议相干单元及小我私家用户,部署及运用OpenClaw时,要强化收集节制,不将默许治理端口袒露于公网,经由过程身份认证等办法安全治理拜候办事,断绝运行情况;增强凭证治理,防止明文存储密钥,成立操作日记审计机制;严酷治理插件来历,禁用主动更新,仅从可托渠道安装署名验证的扩大步伐;连续存眷补钉及安全更新,和时更新版本、安装安全补钉。
版权所有,未经许可不患上转载
-jiuyou.com
jiuyou.com
京ICP备2022033023号
京公网安备 11030102011456号
