1. 首页首页
  2. 科技前沿科技前沿

OpenClaw——这只龙虾吃不吃得了?

科技前沿 阅读 1

OpenClaw——这只龙虾吃不吃得了?文章总结 文章分析了热门 AI 工具 OpenClaw 面临的安全风险 指出其存在提示词注入 误操作 插件投毒及系统漏洞等隐患 工信部等部门发布了六要六不要建议 包括使用官方版本 控制暴露面 坚持最小权限原则 谨慎使用插件 防范社工攻击及建立长效防护机制 为用户安全应用该技术提供了详细指导 综合评分 85 文章分类 AI 安全 漏洞预警 解决方案 安全建设 ZASRC ZASRC

大家好,我是讯享网,很高兴认识大家。这里提供最前沿的Ai技术和互联网信息。



文章总结: 文章分析了热门AI工具OpenClaw面临的安全风险,指出其存在提示词注入、误操作、插件投毒及系统漏洞等隐患。工信部等部门发布了六要六不要建议,包括使用官方版本、控制暴露面、坚持最小权限原则、谨慎使用插件、防范社工攻击及建立长效防护机制,为用户安全应用该技术提供了详细指导。 综合评分: 85 文章分类: AI安全,漏洞预警,解决方案,安全建设

cover_image

ZASRC ZASRC

众安安全应急响应中心

2026年3月12日 17:19 上海

要论最近破圈而出的AI工具,非OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)莫属。短短几天全民“养龙虾”,甚至有人因此一夜暴富。OpenClaw的出现标志着AI正在从“能言善辩的咨询顾问”进化为“手脚利落的数字管家”,从口嗨变实操,直接在系统上“干活”。

但爆火的一定无害吗,一定要抓紧跟风吗?

(图源网络)

无安全,不“养虾”!

几乎是在各大媒体吹捧“小龙虾”的同时,国家对此按下了预警键——国家工信部、国家互联网应急中心等机构先后呼吁社会各界理智看待AI工具,谨慎考虑安全风险,切莫盲目跟风。目前已知的重大安全风险包括:

(一)“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。

(二)“误操作”风险。由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。

(三)功能插件(skills)投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”。

(四)安全漏洞风险。截至目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。

(来源:国家互联网应急中心)

如何安全应用新技术?

工信部组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议,供社会各界参考:

(一)使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。

(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。

(三)坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。

(四)谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。

(五)防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档。

(六)建立长效防护机制。要定期检查并修补漏洞,及时关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。不要禁用详细日志审计功能。

此外,工信部还提出了部分安全基线及配置参考,详见文末“参考及引用”。

(图源网络)

参考及引用:

【涨知识】无安全,不“养虾”!

关于OpenClaw安全应用的风险提示

关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:众安安全应急响应中心 ZASRC

 ZASRC《OpenClaw——这只龙虾吃不吃得了?》

小讯
上一篇 2026-03-19 15:01
下一篇 2026-03-19 14:59

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/245577.html