央視網消息:據國家互聯網應急中心消息,近期,OpenClaw(“小龍蝦”,曾用名Clawdbot、Moltbot)應用下載與使用情況火爆,國內主流雲平臺均提供了一鍵部署服務。此款智慧體軟體依據自然語言指令直接操控計算機完成相關操作。為實現“自主執行任務”的能力,該應用被授予了較高的系統權限,包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(API)以及安裝擴展功能等。然而,由於其默認的安全配置極為脆弱,攻擊者一旦發現突破口,便能輕易獲取系統的完全控制權。
前期,由於OpenClaw智慧體的不當安裝和使用,已經出現了一些嚴重的安全風險:
1.“提示詞注入”風險。網絡攻擊者通過在網頁中構造隱藏的惡意指令,誘導OpenClaw讀取該網頁,就可能導致其被誘導將用戶系統密鑰洩露。
2.“誤操作”風險。由於錯誤的理解用戶操作指令和意圖,OpenClaw可能會將電子郵件、核心生産數據等重要信息徹底刪除。
3.功能插件(skills)投毒風險。多個適用於OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險,安裝後可執行竊取密鑰、部署木馬後門軟體等惡意操作,使得設備淪為“肉雞”。
4.安全漏洞風險。截至目前,OpenClaw已經公開曝出多個高中危漏洞,一旦這些漏洞被網絡攻擊者惡意利用,則可能導致系統被控、隱私信息和敏感數據洩露的嚴重後果。對於個人用戶,可導致隱私數據(像照片、文檔、聊天記錄)、支付賬戶、API密鑰等敏感信息遭竊取。對於金融、能源等關鍵行業,可導致核心業務數據、商業機密和代碼倉庫洩露,甚至會使整個業務系統陷入癱瘓,造成難以估量的損失。
建議相關單位和個人用戶在部署和應用OpenClaw時,採取以下安全措施:
1.強化網絡控制,不將OpenClaw默認管理端口直接暴露在公網上,通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理。對運行環境進行嚴格隔離,使用容器等技術限制OpenClaw權限過高問題;
2.加強憑證管理,避免在環境變量中明文存儲密鑰;建立完整的操作日誌審計機制;
3.嚴格管理插件來源,禁用自動更新功能,僅從可信渠道安裝經過簽名驗證的擴展程序。
4.持續關注補丁和安全更新,及時進行版本更新和安裝安全補丁。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/230416.html