最近,一款名为Clawdbot(现改名OpenClaw)的AI工具在开发者圈子里火得一塌糊涂。它能帮你自动回邮件、管日程,甚至直接操控你的电脑。听起来是不是像个完美的“万能AI助手”?
但先别急着下载!奇安信安全专家和国家安全部近日接连发出严厉警告:这款工具的安全底座极其脆弱,稍有不慎,它就会变成黑客潜伏在你电脑里的“木马”!

问题出在哪?
首先,为了追求“好用”,它默认开启了公网访问。很多用户为了异地调用,手动把监听地址改成了0.0.0.0,这就等于把自家大门敞开,黑客连密码都不需要就能长驱直入。
其次,它存在严重的“本地人身份误判”漏洞。即便你加了反向代理,AI依然会盲目信任来自本地的请求,导致你的身份验证形同虚设。
最可怕的是,它拥有极高的系统权限。一旦AI被恶意提示词“洗脑”,或者你的隐私数据被上传到境外服务器,你的API密钥、私密文件,甚至国家机密,都可能在一瞬间被“一锅端”。
防坑指南:
坚决不使用无明确来源、无运营资质的“三无”AI中转站。
处理内部文件时,务必进行脱敏处理,绝不要把涉密信息“投喂”给AI。
发现账号异常、无故扣费,立刻断网、修改密码并保留证据。
AI是工具,不是法外之地。你的数据,真的安全吗?欢迎在评论区聊聊你的看法。
夜雨聆风