近期,OpenClaw(“龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。与此同时,互联网上针对“龙虾”智能体安全的探讨也日益受到关注。
3月10日晚,国家互联网应急中心发文表示,此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
文中提到,前期由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险:
1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。
2. “误操作”风险。由于错误地理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。
3.功能插件(skills)“投毒”风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”。
4.安全漏洞风险。截至目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。
为此,国家互联网应急中心建议相关单位和个人用户在部署和应用OpenClaw时,采取以下安全措施:
强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题;
加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制;
严格管理插件来源,禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。
持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。
同样是3月10日晚间,中央网信办数据与技术保障中心也在官方微信公众号发出风险提示,从“龙虾”技术内在风险、新型攻击手法、数据隐私保护、法律合规治理、外部生态信任等五个维度,系统梳理当前已暴露的主要风险点,提醒广大用户强化风险意识。
提示1——提防AI“内鬼”:技术架构权限失控风险
权限边界模糊与越权控制。OpenClaw需持续运行、自主决策并调用系统资源,但默认缺乏严格的权限隔离和审计机制。攻击者可利用这一“信任边界模糊”特性,通过诱导或漏洞让AI执行越权操作,最终完全接管用户系统。
算法“幻觉”引发无意识破坏。AI模型固有的“幻觉”问题在获得系统控制权后风险剧增。OpenClaw执行任务时若判断失误,可能误删核心数据、篡改关键指令或进行错误操作,对用户数字资产造成不可逆损害。
提示2——谨防无声入侵:新型漏洞攻击防不胜防
提示词注入攻击。OpenClaw创始人警告,部分小模型和一些旧模型存在高风险提示词注入漏洞。攻击者通过构造恶意指令,可让AI忽略安全规则、泄露私密信息或执行高危操作,如诱导AI输出私密文件内容。
“ClawJacked”远程控制漏洞。ClawJacked漏洞,允许攻击者仅通过诱导用户访问一个恶意网页,即可远程控制其本地运行的AI Agent。无需安装额外软件,即可实现对系统的完全操控。
提示3——当心数字裸奔:你的隐私正被AI尽收眼底
个人行为轨迹数据裸奔。OpenClaw等智能体的工作通常依赖高频屏幕截图和系统底层接口调用,这意味着它能“看见”用户屏幕上的一切行为轨迹。一旦安全防线被突破,动态行为、敏感信息等所有隐私都将彻底曝光。
凭证与Token明文泄露风险。报道显示,超20万未启用认证或存在弱口令的实例暴露在公网中,攻击者可窃取Token盗刷AI服务,有用户遭遇Token日均消耗从20元飙升至300元的异常情况。
提示4——莫让责任真空:法律滞后让风险逍遥法外
数据合规性风险。OpenClaw在数据抓取和处理上边界模糊,自主执行任务时容易造成损失。由于目前法律对此类AI代理行为的权责划分尚属空白,因此责任难以界定。
安全评估风险。OpenClaw作为新兴技术迭代迅速,现有的安全评估标准与实施细则亟需细化,在抢抓产业机遇时风险评估考虑不够充分。
提示5——严防“养虾”陷阱:外部生态暗藏信任危机
技能市场大规模投毒。攻击者在官方平台ClawHub批量上传恶意Skills,通过伪装隐蔽、诱导传播等方式可窃取用户敏感数据、接管系统权限、篡改系统数据、破坏系统运行、自动横向渗透攻击。
第三方代装服务欺诈。由于安装门槛高,网上涌现大量收费代装服务(50-1000元不等)。有的可能是第三方个人行为,暗藏恶意程序植入、API密钥窃取等风险。用户付费请人“开门”,请进来的却可能是窃贼,导致系统从最初就被植入后门。
技术炒作下的认知误导风险。OpenClaw在国内热度远超全球,有的源于技术焦虑和商业化炒作。这种脱离技术实质的狂热,可能误导普通用户盲目投入,消耗大量时间精力却无实际产出,甚至因追逐伪概念而忽视真正有价值的技术方向。
中央网信办数据与技术保障中心同时表示,大家在“养龙虾”时一定要注意防范潜在的各类安全风险,在拥抱新技术的同时,请务必系好“安全带”,唯有发展与安全并重,才能让“龙虾”踏轨而行,让AI智能体真正成为推动高质量发展的得力助手,而非失控的风险源。
▌本文来源:国家互联网应急中心、中央网信办数据与技术保障中心
