官方通报:养龙虾5大风险预警与防范措施详解
3月13日消息,国家网络与信息安全信息通报中心今日下午发布了一则关于OpenClaw的安全风险预警通报,并提出了五条具体的风险防范建议。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一、OpenClaw面临的主要安全威胁
OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等多个层面存在显著的安全隐患。一旦这些弱点被攻击者利用,可能导致服务器被完全控制、敏感数据大规模泄露等严重后果。
1、架构设计缺陷多,层层皆可被攻破。
OpenClaw虽然采用了多层架构设计,但每一层都存在不同程度的安全漏洞。其IM集成网关层可能被攻击者伪造消息,从而绕过身份验证机制;智能体层则可能被多轮对话劫持,用来修改AI的行为模式;执行层与操作系统交互直接,存在被完全控制的风险;而产品生态层一旦被植入恶意技能插件,则可大规模感染用户设备。
2、默认配置风险高,公网暴露范围广。
OpenClaw默认绑定0.0.0.0:18789地址,并允许所有外部IP地址访问,远程访问无需账户认证。同时,其API密钥、聊天记录等敏感信息以明文形式存储。统计显示,其公网暴露比例高达85%。
3、高危漏洞数量多,利用技术门槛低。
OpenClaw历史上被披露的漏洞总数多达258个,仅在近期曝光的82个漏洞中,就有超危漏洞12个、高危漏洞21个。这些漏洞以命令注入、代码注入、路径遍历和访问控制失效等类型为主,普遍利用难度较低。
4、供应链投毒比例高,插件生态不安全。
对ClawHub平台上3016个技能插件的分析发现,有336个插件包含恶意代码,占比高达10.8%。此外,17.7%的插件会获取不可信的第三方内容,成为间接引入安全后门的载体;另有2.9%的插件会在运行时从外部端点动态获取执行内容,使得攻击者可远程篡改AI智能体的执行逻辑。
5、智能体行为不可控,安全管控难度大。
OpenClaw智能体在执行指令过程中容易出现权限失控现象,可能导致其越权执行任务并忽视用户指令,出现删除用户数据、窃取用户信息、接管用户终端设备等情况,从而造成重大经济损失。
二、OpenClaw风险防范建议
1、及时升级至官方最新版本。
应始终通过官方可信来源获取安装程序,密切关注最新的安全公告,及时将软件更新至最新版本,以修复已披露的安全漏洞。
2、优化默认安全配置。
建议仅在本地或内网环境运行,避免绑定公网地址或开放不必要的端口。如需使用反向代理,必须配置身份认证、IP白名单和HTTPS加密。
3、审慎安装第三方插件。
通过官方最新渠道获取第三方技能插件,避免安装来源不明的扩展程序。对已安装插件应定期进行功能审查,一旦发现可疑行为立即卸载。
4、加强账户认证与管理。
务必启用身份认证机制,设置高强度密码并定期更换,避免使用弱口令。
5、限制智能体执行权限。
有必要对AI智能体的操作能力进行严格限制,仅允许其执行白名单中的系统命令和操作,防止AI智能体被恶意指令利用后,对个人终端设备造成实质性破坏。
相关攻略
新智元报道编辑:倾倾【新智元导读】2025年底,极客圈发生了一场数字哗变,Anthropic的遮羞布被Peter Steinberger撕了个精光。从OpenClaw开源到Claude被扒出80页「
3月28日消息,近日,百度贴吧中的抓虾吧因其独特的运行规则引发了广泛关注。许多网友反映,在尝试该吧发帖时,系统会弹出禁止人类发帖的提示,甚至回帖也会显示禁止人类回帖,这一反常现象迅速掀起了网络热议。
3月27日消息,近日,百度贴吧一个名为“抓虾吧”的贴吧突然爆火。据百度贴吧最新透露,“抓虾吧”自创建以来共吸引1 8万个OpenClaw智能体发布2 6万个贴子,累计互动37 5万次。而24小时内“
3月27日,据国家工业信息安全发展研究中心消息,2026年初,以OpenClaw为代表的开源智能体框架迅速引爆市场,智谱(02513 HK)AI、百度(BIDU US)、月之暗面、MiniMax等科
3月27日消息,今日上午,在 2026 中关村论坛年会 “人工智能主题日” AI 开源前沿论坛上,小米 MiMo 大模型负责人罗福莉,针对 OpenClaw 发表了专业看法。她直言:“OpenCla
热门专题
热门推荐
鲁大师软件管家可安全升级常用软件:一、启动后点击顶部“软件管家”选项卡自动扫描;二、在“可升级软件”列表点击绿色“升级”按钮确认安装;三、勾选多个软件后点“批量升级”按钮并发处理;
3月29日,北京已在全国率先启动智能网联新能源汽车商业保险产品开发应用。新产品基本沿用现有的新能源商业车险体系,按照“总体稳定、部分优化”的原则,主要为消费者和汽车企业关心的特定智驾场景、软硬件损失
预计苹果今年将发布两款新的 iPhone 应用,包括 Apple Business 应用和一款具备类似聊天机器人功能的 Siri 应用。借助 Apple Business 应用,使用全新 Apple
据 Axios 报道,苹果公司已聘请前谷歌副总裁 Lilian Rincon 担任人工智能产品营销副总裁。加入苹果之前, Rincon 曾任谷歌购物产品副总裁。在苹果, Rincon 将负责苹果所有
3月29日消息,谁能料到前段时间奥迪车主与雷军之间的那个打赌,竟然还有后续。这到底是咋回事?事情发生在3月25日,网友@单手开吉利 在雷军的微博评论区晒出了自己去年10月刚提的奥迪车,还当场立下一个