夜雨聆风
据通报,OpenClaw全球活跃互联网资产超20万个,境内约2.3万个,大量公网暴露资产存在重大安全风险,易成为攻击目标。
一、主要安全风险
1.架构缺陷:多层架构均有漏洞,易被绕过认证、篡改智能体行为、控制设备。
2.默认配置不安全:公网暴露率85%,无认证、敏感信息明文存储,风险极高。
3.高危漏洞多:历史漏洞258个,近期82个含12个超危,利用难度低。
4.插件生态不安全:约10.8%的ClawHub插件含恶意代码,易被投毒篡改执行逻辑。
5.智能体失控:易越权操作,可能删除数据、盗取信息、接管设备。
二、防范建议
1.版本管理:从官方可信渠道获取安装程序,关注官方安全公告,及时更新至最新版本,修复已披露漏洞。
2.配置优化:仅在本地/内网运行,禁止绑定公网地址、开放无用端口;需反向代理时,配置身份认证、IP白名单及HTTPS加密。
3.插件管控:仅从官方渠道获取插件,不安装来源不明扩展;定期审查已装插件,发现可疑行为立即卸载。
4.认证防护:启用身份认证,设置含字母、数字、特殊符号的高强度密码,定期更换,杜绝弱口令。
5.权限限制:仅允许智能体执行白名单内系统命令及操作,防范恶意指令利用。