游乐游手机版
首页/业界动态/文章详情

官方通报:养龙虾5大风险预警与防范措施详解

时间:2026-03-13 20:39
3月13日消息,今日下午,国家网络与信息安全信息通报中心通报OpenClaw安全风险预警,并给出5条风险防范建议。一、OpenClaw主要安全风险OpenClaw在架构设计、默认配置、漏洞管理、插件

3月13日消息,国家网络与信息安全信息通报中心今日下午发布了一则关于OpenClaw的安全风险预警通报,并提出了五条具体的风险防范建议。

一、OpenClaw面临的主要安全威胁

OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等多个层面存在显著的安全隐患。一旦这些弱点被攻击者利用,可能导致服务器被完全控制、敏感数据大规模泄露等严重后果。

1、架构设计缺陷多,层层皆可被攻破。

OpenClaw虽然采用了多层架构设计,但每一层都存在不同程度的安全漏洞。其IM集成网关层可能被攻击者伪造消息,从而绕过身份验证机制;智能体层则可能被多轮对话劫持,用来修改AI的行为模式;执行层与操作系统交互直接,存在被完全控制的风险;而产品生态层一旦被植入恶意技能插件,则可大规模感染用户设备。

2、默认配置风险高,公网暴露范围广。

OpenClaw默认绑定0.0.0.0:18789地址,并允许所有外部IP地址访问,远程访问无需账户认证。同时,其API密钥、聊天记录等敏感信息以明文形式存储。统计显示,其公网暴露比例高达85%。

3、高危漏洞数量多,利用技术门槛低。

OpenClaw历史上被披露的漏洞总数多达258个,仅在近期曝光的82个漏洞中,就有超危漏洞12个、高危漏洞21个。这些漏洞以命令注入、代码注入、路径遍历和访问控制失效等类型为主,普遍利用难度较低。

4、供应链投毒比例高,插件生态不安全。

对ClawHub平台上3016个技能插件的分析发现,有336个插件包含恶意代码,占比高达10.8%。此外,17.7%的插件会获取不可信的第三方内容,成为间接引入安全后门的载体;另有2.9%的插件会在运行时从外部端点动态获取执行内容,使得攻击者可远程篡改AI智能体的执行逻辑。

5、智能体行为不可控,安全管控难度大。

OpenClaw智能体在执行指令过程中容易出现权限失控现象,可能导致其越权执行任务并忽视用户指令,出现删除用户数据、窃取用户信息、接管用户终端设备等情况,从而造成重大经济损失。

二、OpenClaw风险防范建议

1、及时升级至官方最新版本。

应始终通过官方可信来源获取安装程序,密切关注最新的安全公告,及时将软件更新至最新版本,以修复已披露的安全漏洞。

2、优化默认安全配置。

建议仅在本地或内网环境运行,避免绑定公网地址或开放不必要的端口。如需使用反向代理,必须配置身份认证、IP白名单和HTTPS加密。

3、审慎安装第三方插件。

通过官方最新渠道获取第三方技能插件,避免安装来源不明的扩展程序。对已安装插件应定期进行功能审查,一旦发现可疑行为立即卸载。

4、加强账户认证与管理。

务必启用身份认证机制,设置高强度密码并定期更换,避免使用弱口令。

5、限制智能体执行权限。

有必要对AI智能体的操作能力进行严格限制,仅允许其执行白名单中的系统命令和操作,防止AI智能体被恶意指令利用后,对个人终端设备造成实质性破坏。

官方通报养龙虾安全风险预警:提出5条风险防范建议

来源:https://m.mydrivers.com/newsview/1109104.html
上一篇伊朗无人机袭击卡塔尔氢气供应中断,韩国芯片生产受威胁 下一篇腾讯电脑管家18.0发布:一键防御“龙虾+AI应用”威胁
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
长安汽车明年一季度发布首款车载人形机器人小安
业界动态 · 2026-06-29

长安汽车明年一季度发布首款车载人形机器人小安

长安汽车公布机器人战略,采用“1+N+X”布局,联合头部伙伴攻克大脑、能源、驱动技术。人形机器人“小安”身高169cm,体重69kg,移动速度0 8m s,具备40个自由度,续航超2小时。预计明年一季度发布首款车载组件机器人,已在广州车展展示。

中国信科刷新光通信世界纪录 每秒可下载1.4万部4K电影
业界动态 · 2026-06-29

中国信科刷新光通信世界纪录 每秒可下载1.4万部4K电影

3月25日,光通信领域迎来又一个里程碑:中国信科集团光通信技术和网络全国重点实验室联合鹏城实验室、烽火藤仓光纤科技有限公司,成功实现了2 5Pb s 24芯光纤超大容量实时光传输,再次刷新了世界纪录。 这一研究成果不仅入选国际顶级光通信会议OFC(2026)并荣获“高分论文”称号,还受国际权威SCI

美国调查18万辆特斯拉Model3车门应急释放装置易找性
业界动态 · 2026-06-29

美国调查18万辆特斯拉Model3车门应急释放装置易找性

美国国家公路交通安全管理局对约17 9万辆2024款特斯拉Model3启动缺陷调查,焦点在于车门应急释放装置是否不易找到且标识不清。该调查源于一份缺陷请愿,不意味着立即召回,但可能引发后续监管措施。

doc个人图书馆停服 创始人称无偿转让失败
业界动态 · 2026-06-29

doc个人图书馆停服 创始人称无偿转让失败

运营长达20年,累计服务8000万用户的360doc个人图书馆,最终还是迎来了谢幕时刻。2026年5月1日,这个承载着无数用户收藏记忆的知名平台将正式停止服务——关停原因并非用户流失,而是始终未能寻得一位能够安全接管的合适人选。 创始人蔡智在告别信中坦言,近两个月来,他一直在尝试将360doc无偿转

年Q1随身WiFi实测安全靠谱高性价比机型推荐
业界动态 · 2026-06-29

年Q1随身WiFi实测安全靠谱高性价比机型推荐

2025年10月,艾瑞咨询正式授予飞猫“AI WiFi品类开创者”认证,紧接着CIC也将其认定为“多网融合自由切换技术服务首创者”。这些权威认证背后,折射出一个清晰的市场趋势:移动办公、户外出行、宿舍上网等场景的需求正在快速增长,随身WiFi几乎已成为不少用户的刚需装备。但问题也随之而来——网络卡顿