夜雨聆风最近几天,大家都在“养龙虾”。
近期,一款名为 OpenClaw(被网友亲切称为 “龙虾”)的开源 AI 智能体迅速出圈,成为 AI 领域的热门话题。
它凭借强大的自主执行能力,能自动完成文件整理、邮件收发、代码编写等多种任务,被不少人誉为 “全能打工人”,朋友圈和各类聊天群中晒 “龙虾” 能力的帖子随处可见。
然而,在热度飙升的同时,OpenClaw 潜藏的网络安全风险也逐渐浮出水面,引发业内广泛关注。
OpenClaw的潜在网络安全风险
OpenClaw的核心吸引力,在于它拥有的自主执行能力。
OpenClaw 的核心优势在于自主执行功能,为实现这一特性,用户在初始配置时需为其授予文件系统访问、应用程序调用、网络通信等高权限。这种深度集成、高权限运行的模式,在提升使用便捷性的同时,也因 “信任边界模糊” 埋下多重安全隐患:
一是管理权限失控。OpenClaw 作为用户的 “数字代理人”,若行为逻辑出现偏差或被恶意指令操控,可能越权访问非授权数据、篡改或删除重要文件,对设备数据安全造成直接威胁。
二是防护门槛降低。OpenClaw 支持安装社区各类功能扩展,虽丰富了功能,但也为恶意扩展的植入提供了可乘之机,普通用户极易在不知情中引入安全风险。
三是易被用作入侵通道。部分用户为使用方便,将 “龙虾” 配置为公网直接访问模式,且未修改默认弱口令、未启用访问控制,这直接为恶意攻击者打开了入侵设备的大门。
此外,随着 OpenClaw 走红,一些人嗅到商机推出上门或远程安装服务,用户将设备交由他人操作,导致隐私泄露、数据被窃、设备植入后门等风险大幅增加。
电商平台上,以 “OpenClaw” 为关键词检索,可见众多提供远程部署服务的店铺,售价从数十元到上千元不等,部分链接销量已破百。
OpenClaw安全使用指南
“龙虾”虽好,安全为要。
面对 OpenClaw(龙虾)带来的潜在网络安全风险,无论是个人用户还是机构组织,该如何科学、安全地 “养殖” 这只功能强大的 AI 智能体,使其成为可靠帮手而非安全隐患?
近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
大家在拥抱技术创新、提升效率的同时,也要注意保护好数字世界中的自己——不轻易交出“钥匙”,不随意敞开“家门”。只有始终绷紧安全之弦,才能让技术创新成为推动工作、赋能生活的可靠助力,在数字化浪潮中行稳致远。
扫码关注
云南旭盟科技有限公司
获取更多精彩资讯