请留意最新的安全风险提示。

国家互联网应急中心于3月10日发布了关于OpenClaw应用的安全风险通告。此前，由于该智能体不当的安装与使用，已经引发了一系列严重的安全威胁，包括“提示词注入”风险、“误操作”风险、功能插件（Skills）投毒风险以及安全漏洞风险。

国家互联网应急中心建议相关单位与个人用户在部署和应用OpenClaw时，采取以下安全防护措施：

1. 强化网络访问控制，切勿将OpenClaw的默认管理端口直接暴露在公网上。应当通过身份认证、访问权限管控等安全机制对服务访问进行安全管理。同时，应对运行环境进行严格的隔离，利用容器化等技术限制OpenClaw的过高权限，避免安全隐患。

2. 加强凭据管理，避免在环境变量中以明文形式存储密钥；建立完善的操作日志审计与监控机制。

3. 严格管理插件来源，禁用自动更新功能，仅从可信渠道安装经过签名验证的官方扩展程序。

4. 持续关注官方安全补丁和版本更新，及时进行版本升级并安装安全更新。

同日，相关媒体报道称，工业和信息化部网络安全威胁和漏洞信息共享平台也同步发布了相关的安全风险提示。对此，中国信息通信研究院副院长魏亮表示，当前这类智能体更新迭代速度极快，虽然升级到官方版本能够修复已知的安全漏洞，但这并不意味着安全风险被完全消除。作为一款本地运行的AI代理，它具备自主决策、调用系统资源等特点，加之信任边界模糊、技能包市场尚缺乏严格审核，存在不少风险隐患。例如：在调用大语言模型时可能误解用户指令内容，导致执行删除等有害操作；使用被植入恶意代码的技能包，可能导致数据泄露或系统被控。即便将实例升级到最新版本，如果管理端口暴露于互联网、使用管理员权限、明文存储密钥等配置问题没有得到针对性整改，遭受网络攻击的风险依然存在。网络安全是动态的，攻击手法也在不断演变，不能简单地将“打补丁”和“升版本”视为一劳永逸的安全保障。

魏亮呼吁，党政机关、企事业单位和个人用户需审慎使用相关智能体。在发现其安全漏洞，或遭遇针对该智能体的安全威胁和攻击事件时，可以第一时间向工业和信息化部网络安全威胁和漏洞信息共享平台报送。平台将依据《网络产品安全漏洞管理规定》要求，及时组织处置，切实维护网络安全，保障广大用户的权益。

综合自：国家互联网应急中心CNCERT、人民网

责编：李丹

校对：姚远

版权声明

证券时报各平台所有原创内容，未经书面授权，任何单位及个人不得转载。我社保留追究相关行为主体法律责任的权利。

转载与合作可联系证券时报小助理，微信ID：SecuritiesTimes