夜雨聆风四个月,从极客玩具到全民工具
OpenClaw火了多久?不到四个月。
GitHub星标突破27万,技能市场挂了一万多个插件,云厂商争着推一键部署。
所有人都盯着它的功能有多强、能力有多炫,但很少有人问:它安全吗?
这次被发现的“无认证升级漏洞”,听起来很专业,但后果很直接:攻击者可以利用这个漏洞,在用户完全不知情的情况下,向OpenClaw推送恶意更新。
你以为是升级,其实是中毒。你以为龙虾在帮你干活,其实它可能正在帮别人偷你的数据。
这个漏洞有多危险?
想想OpenClaw能干什么。它能读你的邮件,能操作你的电脑,能调用你的网银。如果攻击者控制了你的OpenClaw,就等于拿到了你电脑的钥匙。
你让它干活,它让黑客干活。你在明处,黑客在暗处。
你还在琢磨怎么让龙虾更聪明,黑客已经在琢磨怎么让它帮你“花点钱”。
创始人Peter,也扛不住这么大的摊子
OpenClaw的创始人Peter是个好人,他做这个项目纯粹是为了好玩,为了证明AI能干活。
但开源生态的安全,不能只靠创始人的“用爱发电”。
当一款开源软件被几百万人使用,当它被接入邮箱、网银、企业内网,它的安全问题就不再是开发者一个人的事。
Peter一个人,扛不住27万用户的安全。这不是他能力不行,是摊子太大了。
360发现漏洞后,第一时间报送国家信息安全漏洞共享平台,协助全网切断风险源头。
这一步的意义,比发现漏洞本身更大。它建立了一个机制:开源生态的安全漏洞,可以有组织、有流程地被发现、被修复、被通报。
不是等黑客利用了你才知道,是在黑客动手之前,就有人帮你堵上。
以后谁还敢说开源软件不安全?
不是开源不安全,是没人管才不安全。有人管了,比闭源还安全。
我创建了一个 OpenClaw 交流群,专门交流:
1、小龙虾怎么玩
2、可以做哪些自动化
3、有哪些赚钱思路
4、最新玩法案例
5、进群就送 OpenClaw 中文学习指南(已经写了上万字了,还在增加)
群 完全免费,但有一个规矩:禁止发广告,发广告直接永久拉黑。
如果你对 AI自动赚钱 / AI自动干活 / AI效率工具 感兴趣,可以进来一起研究。
进群方式:
① 添加下方微信
② 通过后回复:小龙虾
