夜雨聆风关于OpenClaw
智能体软件
安全使用提示
信息中心
近期OpenClaw(俗称"小龙虾",曾用名Clawdbot、Moltbot)智能体软件火爆全网,全球暴露在公网的OpenClaw实例已超34万。该软件可通过自然语言指令直接操控计算机自动执行文件管理、数据处理、邮件收发等任务。然而,根据国家互联网应急中心(CNCERT)3月10日发布的《关于OpenClaw安全应用的风险提示》和工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)的预警,该软件在默认配置下存在严重安全隐患,若配置不当,安装了OpenClaw计算机的完全控制权可被轻易获取。
为保障校园网络安全和师生个人信息安全,特发布以下安全使用提示
01|主要安全风险
01
提示词注入风险
网络攻击者可在网页、文档中构造隐藏的恶意指令,诱导OpenClaw读取后执行非授权操作,可能导致系统密钥、API密钥等敏感信息泄露。
02
误操作风险
由于AI对自然语言指令理解存在偏差,OpenClaw可能错误解读用户意图,误删电子邮件、学术论文、实验数据等重要文件,造成不可逆损失。
03
功能插件(Skills)投毒风险
部分第三方插件已被确认为恶意插件,安装后可窃取密钥、部署木马后门,使设备沦为"肉鸡",被远程控制。
04
第三方代装服务欺诈风险
在互联网社交媒体平台中,涌现大量收费代装OpenClaw服务。不可信的第三方操作个人设备,可能引入暗藏恶意程序植入、API密钥窃取等风险。用户付费请人“开门”,请进来的却可能是窃贼,导致系统从最初就被植入后门。
05
安全漏洞风险
OpenClaw已公开曝出多个高中危漏洞,一旦被利用,可导致:
个人用户:隐私照片、文档、聊天记录、支付账户信息泄露
科研教学:核心科研数据、科研成果、代码仓库泄露
校园网络:系统被控、业务中断,影响正常教学秩序
02|安全使用建议
01
强化网络控制
严禁将OpenClaw默认管理端口直接暴露在公网
通过身份认证、访问控制等措施限制访问权限
建议使用Docker等容器、虚拟机技术隔离运行环境,限制过高系统权限
02
加强凭证管理
切勿在环境变量中明文存储API密钥、数据库密码等敏感凭证
建立完整的操作日志审计机制,定期检查异常操作记录
03
严格插件管理
禁用自动更新功能
仅从官方或可信渠道安装经过签名验证的扩展程序
坚决杜绝安装来源不明、未经安全审核的第三方插件
安装前核实插件开发者身份和用户评价
04
保持更新与监控
持续关注官方安全公告,及时安装安全补丁
保持软件版本更新,修复已知漏洞
定期检查系统安全状态,发现异常立即断开网络连接
05
数据备份与隔离
重要数据定期备份
避免在存放敏感数据的设备上部署OpenClaw
科研数据、涉密资料应与AI操作环境物理隔离
03|特别提醒
1
教学科研场景
涉及科研项目、涉密课题、考试试卷管理的计算机,严禁安装OpenClaw智能体软件。
2
公共机房管理
机房、实训室应加强软件安装管控,严禁安装OpenClaw智能体软件。
3
网络安全意识
不轻信"一键部署""免费代装"等服务,避免设备被植入恶意程序。
4
办公电脑管理
所有办公电脑(含个人工作用机)严禁安装OpenClaw智能体软件,确保工作环境与数据安全
注:
OpenClaw安全风险预警----https://mp.weixin.qq.com/s/8Xg-BO7wswu8u95XAnkCCQ?scene=1&click_id=24
防范OpenClaw安全风险的“六要六不要”建议----https://mp.weixin.qq.com/s/cTTmvAc80_pwXQrspp8tJg
— 往期回顾 —
