夜雨聆风点击上方“AI+机器人的时代”,再点击右上角的“···”,选择设为星标,文章自动推送
最近,科技圈和网络安全圈同时被一个名字刷屏了——OpenClaw。
你可能还没听说过它,也可能正准备下载尝鲜。
但请先停一停,
国家安全部门已经正式发出提示:不要随意安装OpenClaw!
这可不是空穴来风,更不是网络谣言。
国家互联网应急中心(CNCERT)、国家安全部、工业和信息化部(NVDB)、国家网络安全通报中心……多个国家级权威机构都已接连发布风险预警。
好好的龙虾(Claw 意为爪,网友戏称“龙虾”),怎么就成了人人避之不及的烫手山芋?
作为普通人,我们又该怎么办?
“龙虾”变“烫手山芋”——风险到底在哪里?
OpenClaw 本身是一款功能强大的自动化工具,能帮你操控电脑、处理文件、调用 AI……听起来很酷,对吧?
但正是它的强大,成了最大的软肋。
🦞 1. 权限太高,一破就完蛋
OpenClaw 默认被授予访问本地文件、系统环境变量、执行系统命令等高级权限。
这意味着:一旦被恶意利用,攻击者能直接控制你的整台电脑——就像把家门钥匙交给了陌生人。
🦞 2. 默认配置“裸奔”
它默认开启管理端口(比如 18789 或 19890),并且没有身份认证!
只要你把电脑连上网络,这个端口就可能暴露在公网,攻击者扫描到后,无需密码就能直接接管你的设备。
🦞 3. 花样攻击,防不胜防
官方预警中列出了多种攻击方式,普通人几乎难以防范:
提示词注入:你浏览一个恶意网页,网页里的隐藏指令就能骗 OpenClaw 把你电脑里的密钥、密码、聊天记录全部发送出去。
误操作:一个错误的指令,可能让你辛苦多年的文档、照片、邮件等资料永久删除。
插件投毒:第三方“技能插件”(Skills)里藏着后门,安装后就开始窃取你的数据。
供应链攻击:网上搜到的一键安装包、汉化版,超过300个都是木马套件,自带截屏、定位、键盘记录功能。
已知漏洞成堆:安全机构已公开OpenClaw相关的258个漏洞,其中高危12个、中危21个,大部分极易被利用。
普通人怎么办?别慌,照着做就安全
看到这里,你可能有点紧张。但别怕——只要按照官方的建议行动,就能避开绝大部分风险。
🔴 情况一:你已经安装了 OpenClaw
第一步:立即卸载
不要犹豫,立刻彻底删除OpenClaw及其所有衍生版本、配置文件、缓存和日志。
第二步:全面杀毒
用主流杀毒软件(如火绒、360、腾讯管家等)对电脑进行一次全盘扫描,排查是否已被植入后门。
第三步:改密码
修改你电脑上所有重要账户的密码,包括:
系统登录密码
邮箱密码
网盘、社交账号密码
尤其注意:API 密钥、云服务密钥(如果有)
🟡 情况二:你正准备安装或好奇想试试
如果你实在需要用它(比如技术人员学习或工作),请严格遵循官方安全指引,一点都不能马虎:
严格环境隔离
必须使用 虚拟机(如 VMware、VirtualBox) 或 Docker容器 运行,绝不能在办公电脑、个人主机、连接校园网/公司内网的设备上安装。只从官方渠道下载
唯一可信来源:OpenClaw 官方 GitHub 仓库。任何第三方提供的懒人包、汉化版、绿色版一律拒绝。绝不暴露端口到公网
默认管理端口(18789/19890)严禁通过路由器映射或防火墙开放到公网。同时设置强密码认证,不要留空。坚持最小权限
不要用管理员(root)或超级用户权限运行。给它一个普通用户权限就够了。不处理任何敏感数据
绝对不要在 OpenClaw 环境里打开、存储、处理:身份证照片、银行卡信息、工作机密文件、私密聊天记录等。警惕插件风险
只安装官方认证的插件,关闭“自动安装技能”功能。任何要求你“输入密钥”的插件都值得怀疑。防范社工攻击
运行 OpenClaw 时,不要浏览可疑网站,不要点击不明链接,防止浏览器被劫持后注入恶意指令。
总结
OpenClaw 就像一把功能强大的瑞士军刀——在专业人士手中,它可以高效完成工作;但在缺乏安全意识的人手里,它也可能伤到自己。
国家部门的预警不是要禁止新技术,而是提醒我们:在享受便利之前,先学会保护自己。
作为普通人,最实用的建议其实只有一句话:
如果你不确定自己能否做好隔离和防护,那就暂时不要安装 OpenClaw。
等官方发布安全稳定的正式版本,或者有更简单的一键沙箱方案后,再尝鲜也不迟。
转发这篇文章给身边的朋友,也许你的一次分享,就能帮他避免一次数据泄露或财产损失。
-------------end-------------
点击下方卡片,可以快速关注:
欢迎分享、点赞、在看三连!
感谢关注
