【CNMO科技消息】3月10日,国家互联网应急中心针对当下热门的OpenClaw(别名“小龙虾”,曾用名Clawdbot、Moltbot)应用发布安全风险提示。该应用凭借依据自然语言指令直接操控计算机完成操作的功能,下载与使用情况异常火爆,国内主流云平台还为其提供了一键部署服务。不过,其背后隐藏的安全问题不容小觑。
为实现“自主执行任务”,OpenClaw被授予较高系统权限,涵盖访问本地文件系统、读取环境变量、调用外部服务API以及安装扩展功能等。但因其默认安全配置脆弱,攻击者一旦找到突破口,就能轻易获取系统完全控制权。
目前,由于不当安装和使用OpenClaw,已出现多种严重安全风险。“提示词注入”风险方面,网络攻击者可在网页中构造隐藏恶意指令,诱导OpenClaw读取,进而泄露用户系统密钥;“误操作”风险上,它可能因错误理解用户指令,误删电子邮件、核心生产数据等重要信息;功能插件(skills)投毒风险也不容忽视,多个适用于该应用的功能插件被证实为恶意插件或存在潜在风险,安装后可能窃取密钥、部署木马后门,让设备沦为“肉鸡”;此外,OpenClaw已公开曝出多个高中危漏洞,若被攻击者利用,个人用户隐私数据、支付账户、API密钥等敏感信息可能被盗取,金融、能源等关键行业则可能面临核心业务数据、商业机密和代码仓库泄露,甚至业务系统瘫痪的严重后果。
为此,国家互联网应急中心建议相关单位和个人用户,部署和应用OpenClaw时,要强化网络控制,不将默认管理端口暴露在公网,通过身份认证等措施安全管理访问服务,隔离运行环境;加强凭证管理,避免明文存储密钥,建立操作日志审计机制;严格管理插件来源,禁用自动更新,仅从可信渠道安装签名验证的扩展程序;持续关注补丁和安全更新,及时更新版本、安装安全补丁。