國家互聯(lián)網(wǎng)應(yīng)急中心近日發(fā)布安全警示,一款名為OpenClaw的AI智能體應(yīng)用因存在重大安全缺陷引發(fā)關(guān)注。該軟件此前憑借自然語言操控計算機的功能獲得國內(nèi)主流云平臺部署支持,但其運行所需的本地文件系統(tǒng)訪問權(quán)限、外部API調(diào)用權(quán)限等高權(quán)限設(shè)置,疊加默認安全配置不足的問題,已被證實存在多類高危風(fēng)險。
經(jīng)技術(shù)團隊驗證,攻擊者可利用四種主要途徑實施攻擊。在輸入交互環(huán)節(jié),惡意構(gòu)造的提示詞可繞過系統(tǒng)過濾機制,直接獲取用戶系統(tǒng)密鑰等敏感信息;在數(shù)據(jù)處理層面,軟件對自然語言指令的解析存在缺陷,曾出現(xiàn)誤刪重要郵件及生產(chǎn)數(shù)據(jù)庫的嚴重事故;在擴展生態(tài)方面,第三方惡意插件可通過偽裝成正常功能模塊,實施憑證竊取或木馬植入等攻擊;更令人擔(dān)憂的是,該應(yīng)用已披露的多個高中危漏洞,可能直接導(dǎo)致用戶支付賬戶被盜、隱私文件泄露,甚至引發(fā)金融、能源等關(guān)鍵行業(yè)基礎(chǔ)設(shè)施癱瘓。
目前,安全團隊已監(jiān)測到多個針對該應(yīng)用的攻擊樣本。某能源企業(yè)曾因部署未加固版本,導(dǎo)致內(nèi)部代碼倉庫被非法訪問;部分個人用戶反映支付賬戶出現(xiàn)異常登錄記錄。專家特別提醒,用戶應(yīng)立即檢查運行環(huán)境配置,及時安裝官方發(fā)布的安全補丁,并定期核查系統(tǒng)權(quán)限分配情況,避免因權(quán)限過度開放導(dǎo)致攻擊面擴大。
隨著AI應(yīng)用場景不斷拓展,此類高權(quán)限工具的安全問題日益凸顯。此次事件再次警示,在享受技術(shù)便利的同時,必須建立與之匹配的安全防護體系。技術(shù)提供方需完善默認安全配置,云平臺應(yīng)加強部署前的安全審查,終端用戶則要提升安全意識,形成多方協(xié)同的防御機制。
