夜雨聆风
工信部、国家互联网应急中心近期连发风险提示,明确OpenClaw(龙虾)开源AI智能体存在高危安全风险,即便升级到官方最新版本修复已知漏洞,仍可能因配置不当被攻击,仅靠升级无法完全消除风险。
核心风险点
- 暴露与权限:实例公网暴露、使用管理员权限、明文存密钥,易被接管、数据泄露。
- 插件与注入:恶意技能包可植入后门;提示词注入可能窃取密钥、误删数据。
- 信任边界模糊:技能包缺乏严格审核,易被恶意利用。
快速防护建议(“六要六不要”)
- 要:用官方最新版、严控公网暴露、最小权限、慎装技能包、开日志审计、及时关注预警。
- 不要:用第三方镜像/历史版、公网暴露实例、用管理员权限、装不明技能包、点可疑链接、禁用日志。
关键操作
1. 立即升级至2026.1.29及以上官方版本,备份后重启验证。
2. 关闭默认管理端口公网访问,启用强认证与访问控制。
3. 密钥加密存储,禁用明文;插件只装可信来源,不自动更新。
4. 容器/虚拟机隔离运行,记录操作日志,发现异常立即断网重置。
网络安全动态更新,升级+规范配置+持续监控缺一不可,建议按上述要求尽快自查加固。
