夜雨聆风近期,一款名为OpenClaw(网络昵称“小龙虾”)的AI智能体火爆出圈,不少师生开启了“养虾”热潮。然而,近期国家互联网应急中心和工信部网络安全威胁和漏洞信息共享平台相继发布安全提示:OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险!
“小龙虾”虽好,安全风险不容小觑。今天,我们就来聊聊如何安全“养虾”,防范潜在风险。
“养虾”四大风险,你必须知道!
1
“提示词注入”风险
网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将你的系统密钥泄露。
2
“误操作”风险
由于错误理解用户操作指令和意图,OpenClaw可能会将重要电子邮件、核心研究数据等重要信息彻底删除!辛苦积累的学术资料可能瞬间消失!
3
功能插件投毒风险
网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将你的系统密钥泄露。
4
安全漏洞风险
截至目前,OpenClaw已公开曝出多个高中危漏洞。一旦被网络攻击者恶意利用,可能导致:
个人用户:隐私数据(照片、文档、聊天记录)、支付账户等敏感信息遭窃取
科研团队:核心科研数据、未发表论文、商业机密和代码仓库泄露
关键业务系统:甚至会使整个业务系统陷入瘫痪,造成难以估量的损失
如何安全“养虾”?
1
做好“虾池”安全(运行环境)
(1) 隔离部署:在测试机、Docker沙箱上安装部署OpenClaw,避免在个人主力计算机或办公计算机上直接安装
(2) 网络防护:配置防火墙,不将OpenClaw默认管理端口(默认18789)暴露在公网上,通过身份认证、访问控制等措施进行安全管理
(3) 权限限制:创建普通用户启动OpenClaw服务,仅授予完成任务所必需的权限,不授予系统级权限(如ROOT)
2
管好“虾粮”投喂(凭证与数据)
(1) 凭证管理:避免在环境变量中明文存储密钥,建立完整的操作日志审计机制
(2) 数据安全:尽量使用OpenClaw连接本地部署大模型,谨慎连接使用云端大模型,做到“数据不出域”
(3) 隐私保护:不向AI工具输入科研核心数据、未公开成果、身份证号、账号密码等敏感信息
3
把好“虾饵”来源(插件管理)
(1) 严格来源:严格管理插件来源,仅从可信渠道安装经过签名验证的扩展程序
(2) 禁用自动更新:禁用自动更新功能,避免自动安装潜在恶意插件
(3) 及时打补丁:持续关注官方安全公告和补丁,及时进行版本更新和安装安全补丁
4
不只“小龙虾”,这些AI使用
风险也要注意!
✅ 防范数据外泄与隐私侵犯:不使用外部AI工具处理核心科研数据,使用模拟数据替代真实数据进行测试
✅ 防范内容失真与学术侵权:将AI生成内容仅作参考,通过知网、权威期刊等渠道交叉验证,不代写论文
✅ 防范网络诈骗与身份冒充:收到转账、信息采集要求时,通过官方渠道核实身份,不点击陌生链接
✅ 防范技术漏洞和设备安全:仅从官方渠道下载安装AI应用,不安装破解版、非官方插件,及时升级版本
📝总结
AI很给力,防线要牢记。我们在享受“小龙虾”等AI应用带来便利的同时,也要时刻绷紧网络安全这根弦。让我们携手,一同构建“学AI、用AI、创AI、护AI”的良性生态!
编辑:王其伟
来源:新华社、平安山大
图片来源:AI生成