夜雨聆风
近期,一款名为OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)的开源智能体应用下载与使用情况呈现爆发式增长。国内主流云平台均提供了“一键部署”服务,极大地降低了使用门槛。
OpenClaw之所以火爆,在于其强大的功能:它能够依据自然语言指令直接操控计算机完成任务。为了实现“自主执行任务”的能力,该应用通常被授予较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务API以及安装扩展功能等。
然而,这种“高权限”特性在带来便利的同时,也埋下了巨大的安全隐患。由于其默认安全配置较为脆弱,一旦被攻击者利用,可能导致系统完全失控。国家互联网应急中心及工信部已针对其安全风险发布紧急提示。
OpenClaw在各类场景下的广泛应用,伴随着多维度的安全威胁,主要包括:
1. “提示词注入”风险(诱导攻击)
网络攻击者可以通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页。一旦智能体被诱导,可能导致其将用户系统密钥、敏感数据等泄露给攻击者。
2. “误操作”与逻辑风险
由于对用户指令和意图的错误理解,OpenClaw可能会执行破坏性操作。例如,误将电子邮件、核心生产数据等重要信息彻底删除,造成不可挽回的损失。
3. 供应链与插件投毒风险
OpenClaw的功能扩展依赖于插件(Skills)。目前,多个功能插件已被确认为恶意插件或存在潜在安全风险。一旦安装,这些插件可执行窃取密钥、部署木马后门等操作,使设备沦为攻击者的“肉鸡”。
4. 系统漏洞与权限滥用
截至目前,OpenClaw已公开曝出多个高中危漏洞。攻击者若利用这些漏洞,结合其高系统权限,可直接获取服务器控制权。
对个人用户: 隐私数据(照片、文档、聊天记录)、支付账户、API密钥面临被盗风险。
对企业/关键行业: 核心业务数据、商业机密和代码仓库可能泄露,甚至导致整个业务系统瘫痪。
1. 学习研究:将OpenClaw作为学习辅助工具,确需使用时优先选择学校提供的算力平台与安全沙箱,不随意在个人设备部署,不影响正常学习与校园网络秩序。
2. 学术诚信:严格遵守学术规范,仅用于资料整理、文字润色、思路启发等辅助用途,严禁使用工具代写论文、作业,坚决杜绝各类学术不端行为。
3. 个人防护:提高信息安全意识,不在主力设备安装运行,不存储密钥、隐私信息,不分享运行实例,不随意授权权限,严防信息泄露与设备安全风险。
4. 合规底线:遵守法律法规与校园规定,不将工具用于商业用途,不传播违规内容,不利用工具攻击他人系统、窃取数据,坚守网络行为底线。
5. 风险意识:认清工具存在操作失控等潜在风险,使用时保持谨慎,熟练掌握暂停、关停等应急操作,遇到异常及时处置,确保使用安全可控。
OpenClaw作为一款强大的开源智能体,正在重塑我们的工作与生活方式。然而,“能力越大,责任越大”。在享受技术红利的同时,我们必须对潜在的安全风险保持高度警惕。希望各位师生都能积极落实安全建议,增强防范意识,做好日常自查,一起营造让大家安心、放心的智能体应用环境。
春游江淮 | 2026“春游江淮 光影寻芳” 赴一场春日之约
“自强不息 筑梦青春”2025年国家励志奖学金获得者风采展示(九)
策 划|易班学生工作站
图片来源|OpenClaw官网截图
文字来源|黄桂文
图文排版|黄桂文
初 审|汤 恒 陈 珂
复 审|华雨萱 顾安骏
终 审|杜松涛
