中國網3月10日訊 據(jù)“國家互聯(lián)網應急中心CNCERT”微信公眾號消息,近期,OpenClaw(“小龍蝦”,曾用名Clawdbot、Moltbot)應用下載與使用情況火爆,國內主流云平臺均提供了一鍵部署服務����。此款智能體軟件依據(jù)自然語言指令直接操控計算機完成相關操作�����。為實現(xiàn)“自主執(zhí)行任務”的能力�,該應用被授予了較高的系統(tǒng)權限,包括訪問本地文件系統(tǒng)�����、讀取環(huán)境變量����、調用外部服務應用程序編程接口(API)以及安裝擴展功能等��。然而��,由于其默認的安全配置極為脆弱,攻擊者一旦發(fā)現(xiàn)突破口���,便能輕易獲取系統(tǒng)的完全控制權���。
前期,由于OpenClaw智能體的不當安裝和使用�,已經出現(xiàn)了一些嚴重的安全風險:
1.“提示詞注入”風險。網絡攻擊者通過在網頁中構造隱藏的惡意指令��,誘導OpenClaw讀取該網頁����,就可能導致其被誘導將用戶系統(tǒng)密鑰泄露。
2. “誤操作”風險��。由于錯誤的理解用戶操作指令和意圖����,OpenClaw可能會將電子郵件、核心生產數(shù)據(jù)等重要信息徹底刪除��。
3.功能插件(skills)投毒風險���。多個適用于OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險����,安裝后可執(zhí)行竊取密鑰、部署木馬后門軟件等惡意操作�����,使得設備淪為“肉雞”���。
4.安全漏洞風險���。截止目前,OpenClaw已經公開曝出多個高中危漏洞�,一旦這些漏洞被網絡攻擊者惡意利用,則可能導致系統(tǒng)被控��、隱私信息和敏感數(shù)據(jù)泄露的嚴重后果����。對于個人用戶,可導致隱私數(shù)據(jù)(像照片�����、文檔、聊天記錄)����、支付賬戶���、API密鑰等敏感信息遭竊取�。對于金融�、能源等關鍵行業(yè),可導致核心業(yè)務數(shù)據(jù)��、商業(yè)機密和代碼倉庫泄露�,甚至會使整個業(yè)務系統(tǒng)陷入癱瘓,造成難以估量的損失���。
建議相關單位和個人用戶在部署和應用OpenClaw時�����,采取以下安全措施:
1.強化網絡控制����,不將OpenClaw默認管理端口直接暴露在公網上�����,通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理�����。對運行環(huán)境進行嚴格隔離�����,使用容器等技術限制OpenClaw權限過高問題�;
2.加強憑證管理,避免在環(huán)境變量中明文存儲密鑰����;建立完整的操作日志審計機制;
3.嚴格管理插件來源�����,禁用自動更新功能���,僅從可信渠道安裝經過簽名驗證的擴展程序�����。
4.持續(xù)關注補丁和安全更新�,及時進行版本更新和安裝安全補丁。
北疆新聞 | 內蒙古自治區(qū)重點新媒體平臺��,內蒙古出版集團?內蒙古新華報業(yè)中心主管主辦的國家互聯(lián)網新聞信息采編發(fā)布服務一類資質平臺�����。
