关于防范OpenClaw(龙虾)开源AI智能体安全风险的预警提示
openclaw近期,开源AI智能体框架OpenClaw(龙虾)在全球迅速走红,国内高校也掀起“养龙虾”热潮。然而技术热潮背后,安全风险不容忽视。工业和信息化部网络安全威胁和漏洞信息共享平台监测发现,OpenClaw在默认配置或不当配置条件下存在较高安全风险,易引发网络攻击、数据泄露、系统受控等网络安全事件,即便其升级至最新版本也无法完全消除隐患。
1.大规模暴露实例:超过27万个OpenClaw实例因配置不当暴露于公网,黑客可轻易获取其控制权。
2.恶意插件泛滥:在其技能(Skills)市场ClawHub中,约12%的插件被证实含有恶意代码,可窃取API密钥、部署后门。
3.财产损失频发:有开发者因控制端口暴露,信用卡遭盗刷;国内用户两小时内损失1400元,海外一名工程师则痛失价值25万美元的加密资产。
4.行为失控风险:有用户反映,其AI在执行任务时无视“中止”指令,批量删除了重要邮件。更有甚者,AI轻信社区中的“卖惨”帖子,未经核实便自动向求助者转账。
1.保持理性克制:面对“龙虾”热潮,师生应冷静评估自身实际需求,避免因好奇或跟风盲目安装部署。尤其注意不要在接入校园网的设备、办公电脑以及存有个人敏感信息或工作数据的设备上使用。
2.工作场景严禁使用:校内服务器一律禁止安装使用OpenClaw;校内各单位、教职工在处理教学科研数据、行政办公信息、学生档案等工作场景中严禁使用OpenClaw。此项为强制要求,杜绝校园工作数据泄露、系统受控等安全问题。
3.隔离合规使用:确有研究需要的师生,务必从官方渠道获取源码。部署时遵循“最小权限”原则——只授予完成任务所必需的操作权限,对文件删除、数据发送、系统修改等高风险操作设置人工确认环节。强烈建议使用容器或虚拟机进行隔离运行,切忌使用管理员权限账号。
4.堵住网络漏洞:定期自查OpenClaw实例是否暴露在互联网上,一旦发现立即下线整改。如需远程访问,应使用SSH等加密通道并严格限制访问源IP,同时启用强密码或硬件密钥认证。身份认证、数据加密、安全审计等防护机制必须同步到位,妥善保管API密钥等敏感凭证。
5.安全办公要求:严禁将涉及校内未公开文件、财务报表、教职工及学生个人信息等敏感数据输入任何 AI 工具,以防数据被泄露或用于模型训练。
全校师生要正视AI技术的双刃剑效应,主动提升风险识别能力,做到不开放高危权限、不从非正规渠道下载程序,发现设备异常、账号被盗或数据泄露时,应立即断网并停止服务,保留截图等证据,第一时间向学校网络与信息中心报告。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/274354.html原文链接:https://javaforall.net
