近期,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)、国家网络与信息安全信息通报中心接连发布预警,提示OpenClaw开源AI智能体(俗称“龙虾”)存在重大安全风险,易引发网络攻击、敏感数据泄露等问题,直接威胁数据全流程安全。为做好数据安全风险防范工作,切实保障各单位及广大用户数据资产安全,现将相关风险及安全防范要求提示如下。
使用OpenClaw有哪些风险?
OpenClaw作为具备系统级权限调用能力的开源AI助手,目前全球公网暴露实例超27万个,其中国内约9万个,存在多类高风险隐患,易导致数据泄露、篡改等问题,主要集中在3方面:
1. 默认配置与凭据管理风险。该工具使用不当时,会自行绑定公网地址、允许所有外部IP访问,且未启用身份认证,公网暴露比例高达85%。同时,本地配置文件以明文方式存储API密钥、数据库凭证等敏感信息,未采取加密保护,一旦被入侵,攻击者可直接获取凭据并窃取核心数据,引发连锁风险。
3. 供应链与插件安全风险。OpenClaw官方技能市场(ClawHub)现有2万3千余个技能插件,其中超过10%的技能插件会获取不可信第三方内容,存在数据泄露隐患。部分插件可以在用户不授权的情况下自动安装,进一步加大了恶意插件植入、数据被窃取的风险。
安全使用提示
为防范数据安全事件的发生,建议各单位及用户应在使用时做好以下防护:
1. 审慎应用OpenClaw。确有必要使用的,优先从官方渠道下载OpenClaw最新版本,部署前做好数据备份,开启自动更新提醒,升级后及时重启服务并验证补丁生效情况;部署时应采用容器技术或虚拟机隔离运行模式,划定独立权限区域,从源头降低安全风险。
2. 严控部署应用范围。未经许可情况下严禁在政务云网环境、生产环境、核心业务系统及敏感数据服务器部署;避免在办公终端安装,确需使用的,仅在隔离测试环境用于技术研究,不得处理任何敏感数据。
3. 落实“最小权限”原则。部署时严禁使用管理员权限账号,仅授予完成工作任务必需的权限,对删除文件、发送数据、修改系统配置等关键操作,必须执行二次确认或人工审批流程。审慎使用ClawHub平台技能包,安装前严格审查代码,坚决拒绝要求“下载ZIP”“执行shell脚本”“输入密码”的可疑技能包
4. 强化身份与访问防护。部署前启用身份认证,采用强密码及多因素认证(MFA);配置防火墙和IP白名单,仅开放必要端口,将部署环境与核心数据区严格隔离。
5. 加强敏感数据保护。严禁在该工具中存储、处理账号密码、业务数据、公共数据、个人信息等敏感内容;必要凭据需加密存储,定期清理对话记录和临时数据,杜绝数据残留。
6. 建立AI安全审计机制。启用操作日志记录,重点监测数据访问、命令执行等行为,定期排查异常记录,及时发现数据安全隐患。
来源:数字社会处
审核:李谦
审稿:仲崇浩
发布:姚蕊
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/243191.html