近期,开源AI智能体OpenClaw(俗称“龙虾”)以其颠覆性的“人机交互”模式,在全社会掀起了一波“养虾”热潮。OpenClaw具有开源、可自主执行任务等特点,吸引了包括高校学生在内的许多用户尝试。然而,为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,同时安全配置又较为简陋,安全风险不容忽视。
风险提示
目前,已知的安全风险主要分为以下几种:
1
“提示词注入”风险
网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。
2
“误操作”风险
由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。
3
功能插件(skills)投毒风险
多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”。
4
安全漏洞风险
截止目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(照片、文档、聊天记录等)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。
使用建议
针对这些漏洞与风险,用户在使用过程中应注意以下几点:
1 . 强化网络控制
不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理,使用容器等技术限制OpenClaw权限过高问题。
2.强化网络边界隔离
OpenClaw应部署于独立的隔离区,严禁与工业控制网络直接连通。禁止企业将OpenClaw默认管理端口(如Web UI、API接口)直接暴露于互联网,若需远程访问,应通过企业级VPN、零信任网络(ZTNA)或跳板机进行受控接入。
3.做好漏洞补丁修复
应从官方渠道下载部署最新稳定版,并开启自动更新提醒,及时进行版本更新和安装安全补丁。在升级前备份数据,升级后重启服务并验证补丁是否生效。同时严格管理插件来源,仅从可信渠道安装经过签名验证的扩展程序。
4.严格管理插件来源
禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。
看到这里,相信同学们对OpenClaw的使用又有了新的思考。如果有些同学已经安装了OpenClaw,但产生了新的顾虑,担心驾驭不了想要卸载,却不知道正确的方法。别着急,可以试试跟着下面这份官方卸载指南操作:
打开终端(Terminal)
- Windows用户:按键盘上的Win+R键,在弹出的框中输入cmd,然后按回车;或者直接在开始菜单里搜索“命令提示符“或“PowerShell”。
- Mac用户:按键盘上的Command+Space(空格键),在搜索框输入Terminal或终端,然后按回车。
输入下面这行命令并回车
代码块:openclaw uninstall --all --yes,其中:
- uninstall:告诉程序我要卸载。
- --all:彻底删除,包括网关服务、本地数据库、配置文件等所有数据。
- --yes:全程自动确认,不需要你手动按 Y 确认。
删除命令行工具
以上指令跑完后,电脑里就只剩下OpenClaw的外壳(CLI工具)了。如果想把它彻底清除,再执行一行——代码块:npm uninstall -g openclaw。至此,电脑就彻底干净了。
注意事项:
执行完上述操作后,建议重启一次电脑,确保所有后台进程彻底关闭。如果曾在OpenClaw里绑定过API Key(如OpenAI、Claude的密钥),建议去对应的官网废弃旧密钥,生成新密钥,以防万一。
网络安全无小事。希望各位CHUers在体验新技术的同时,时刻谨记安全第一,注意保护个人隐私。只有提高安全意识,规范使用,才能更好的享受科技发展带来的便利。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/240700.html