从相关渠道获悉,3月12日,香港网络安全事故协调中心发布警示,指出来源开放的AI代理平台OpenClaw近期迅速兴起,其普及度持续走高,伴随而来的网络安全风险也日益凸显。协调中心强调,若AI代理平台具备本地操作、第三方功能插件加载及外部服务整合能力,其威胁程度已远超普通的对话式AI工具。机构与用户在引入这类工具时,必须保持高度警惕。
根据协调中心引述的报告显示,已有恶意攻击者利用伪造的代码仓库及网络搜索结果,向搜索OpenClaw安装程序的用户散布能够窃取信息的恶意软件与代理类恶意软件。因此,用户应优先通过官方游戏渠道、最新文件或官方存储库提供的链接进行下载与安装,切勿点击来源不明的链接。
协调中心进一步指出,OpenClaw曾被曝存在高危漏洞,攻击者可借此挟持开发者的OpenClaw代理程序。所幸该漏洞已于近期完成修复,但此次事件被视为一个重要警示,说明若缺乏充分的安全监管与控制措施,部署AI代理工具的组织可能会面临更大的风险暴露。
除了平台自身的漏洞,OpenClaw的技能生态系统也浮现出新的攻击突破口。根据其最新发布,OpenClaw设有开源技能注册库ClawHub,允许用户发布了拓展功能的技能,并可在此搜索、安装、更新及发布各类技能。技能通常由说明文件及相关辅助文件档案构成。协调中心警告,这种开放式扩展模式虽加速了功能迭代,却也引入了第三方组件的供应链风险,可能成为攻击者的入侵途径。
对此,协调中心提出几点建议,包括核实下载来源与安装指引、尽快更新OpenClaw至最新版本、审慎安装第三方脚本、警惕代理程序执行高风险操作,以及将OpenClaw视为高权限自动化平台进行管理。
