夜雨聆风你好啊,我是雨飞,见字如面。感谢阅读,期待我们下一次的相遇。
最近,OpenClaw 彻底火了,这个图标长得像龙虾的开源项目不仅一举超过了 linux 开源项目的 star 数,还引来了官方主流媒体的报道。
然鹅,由于 OpenClaw 本身的权限太大,也出现了很多误操作的情况,导致像人民日报等主流媒体都发布了警示风险,提醒人们要谨慎使用小龙虾工具,避免带来财产、数据方面的损失。
在微博上,关于龙虾安全的话题也登上热搜。简单来说,网友遇到了比如这只龙虾去检查邮箱的时候,却自行删除了数百封邮件;安装龙虾的时候,导致了API 密钥的泄露等等。
正是由于这种问题的出现,另外魔幻的一面出来了,上门卸载小龙虾的需求随之爆火。
目前你可以在任意社交平台看到上门卸载龙虾的服务,价格也在几十块到几百块不等,虽然相比上门安装的价格便宜了很多,但仍然是一笔不小的开支。特别是很多人可能装了龙虾后,根本没有做多少事情就匆匆卸载,轮回中,只有卖教程的,卖服务的,云平台的开发商赚到了钱。
当然,热潮的另一面则是安全隐患,根据国家互联网应急中心发布的关于 OpenClaw 的风险提示以及我们的实际体验,小龙虾本身隐含了大量的风险项。
官方发布风险提示
1,提示词注入风险,简单来说一旦你的龙虾读取了一些恶意网站或者浏览内容,则有可能暴露自己的模型密钥,造成额度耗尽以及金钱损失。
2,数据权限风险,默认的龙虾权限很高,可能对本地数据造成不可挽回的损失。
3,Skills 风险,很多 Skills 存在恶意插件或者高危操作,很容易让你的龙虾暴露在公网或者被植入木马插件。
4,安全隐患,OpenClaw 本身已经被爆出有很多公开的漏洞,网上有人可能会利用这些漏洞对你的龙虾进行攻击,造成不必要的损失。
如何安全的养龙虾?
1,首选采用云服务器或者本地 docker 部署的方式,避免对自己本地的数据带来二次隐患。
2,云服务或者本地部署,不要暴露自己的公网端口,特别是 gateway 服务的默认端口一定要关闭访问权限,避免外部网络攻击。同时尽量避免使用远程连接,采用云桌面登录或者 VNC 的方式进行登录,使用强密码或者加密证书。
3,OpenClaw 在 3.2 版本以后对工具的权限做了更细致的授权,并修复了很多之前的漏洞,一定要更新到这个以上版本去使用。另外,3.X 版本和之前的配置文件并不完全兼容,需要先备份好原始数据再进行升级。
4, 安装 Skills 时,不要随便在 ClawHub 上进行安装,可以先安装 Skill Vetter 这个安全审查的 Skills,再安装其他 Skills,先进行审核。另外各大主流的云服务厂商也都提供了适配国内的 Skills 商城,还有精选和榜单,优先从这里面进行选择。
5,对自己的 Coding Plan 进行监控,避免出现异常的使用情况。一定发现异常,应当立即删除之前的密钥,避免套餐额度耗尽引起其他的问题。由于小龙虾本身 token 消耗量极大,不建议直接对接 API 使用,如果你还在使用 API 的形式应尽快切换到 Coding Plan 的方式,降低使用成本。
6,定时备份自己的龙虾数据,避免因升级或者错误导致的龙虾养殖失败而带来的风险。直接备份下面整个文件夹就可以。
数据目录为:C:\Users\{你的用户名}\.openclaw
最后,AI编程、OpenClaw 交流群现在已经有很多空位,还有新群,遵守群规即可,私聊暗号:小龙虾,找我入群。#AI编程 #OpenClaw
2、更多AI编程、小龙虾 OpenClaw、副业相关知识,不定时福利,扫码加入 6000+ 人的免费星球
