3 月 8 日消息,OpenClaw(曾用名 Clawdbot、Moltbot)是一個近期爆火的 AI 智能體,核心競爭力在于“主動自動化”能力,該 AI 智能體無需用戶發出指令,即可自主清理收件箱、預訂服務、管理日歷及處理其他事務。目前,網上已新增大批養龍蝦人。
據央視新聞今日報道,工業和信息化部網絡安全威脅和漏洞信息共享平臺監測發現,OpenClaw(俗稱“龍蝦”)開源 AI 智能體部分實例在默認或不當配置情況下存在較高安全風險,極易引發網絡攻擊、信息泄露等安全問題。
另外,由于 OpenClaw 在部署時“信任邊界模糊”,且具備自身持續運行、自主決策、調用系統和外部資源等特性,在缺乏有效權限控制、審計機制和安全加固的情況下,可能因指令誘導、配置缺陷或被惡意接管,執行越權操作,造成信息泄露、系統受控等一系列安全風險。
建議相關單位和用戶在部署和應用 OpenClaw 時,充分核查公網暴露情況、權限配置及憑證管理情況,關閉不必要的公網訪問,完善身份認證、訪問控制、數據加密和安全審計等安全機制,并持續關注官方安全公告和加固建議,防范潛在網絡安全風險。
據此前報道,密碼管理工具 1Password 于今年 2 月 2 日發布博文,其安全團隊發現有攻擊者利用 OpenClaw 向 macOS 用戶散播和植入惡意軟件。攻擊者利用了 OpenClaw 的“技能”(Skills)文件,這些通常為 Markdown 格式的文件本用于指導 AI 學習新任務,卻被黑客偽裝成合法的集成教程。
