国家互联网应急中心(CNCERT)于3月10日发布《关于OpenClaw安全应用的风险提示》,指出该应用因系统权限过高、安全配置脆弱,存在提示词注入、误操作、插件投毒及安全漏洞四类风险。
OpenClaw(俗称“龙虾”,曾用名Clawdbot、Moltbot),此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。
为保障师生个人信息安全、教学科研数据安全及校园网络环境稳定,现就OpenClaw使用相关安全事项提醒如下:
1.使用官方最新版本。在部署时,从官方渠道下载最新稳定版,并开启自动更新提醒。在升级前备份数据,升级后重启服务并验证补丁是否生效。切勿使用第三方镜像或旧版。
2.严格控制互联网暴露面。师生使用OpenClaw智能体应优先使用云端服务器、虚拟机、容器等隔离技术部署,不要将服务暴露至公网或校园网。确需网络访问的,必须通过SSH等加密通道认证,并严格限制访问源地址。
3.坚持最小权限原则。在部署时,严禁使用管理员权限的账号,只授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。
4.谨慎使用技能市场。各类网络社区平台提供的技能包存在被恶意投毒的安全风险。请广大师生审慎下载相关技能包,安装前务必核查代码内容,坚决拒绝使用要求“下载ZIP压缩包”“执行shell脚本”或“输入密码”的技能包。
5.防范社会工程学攻击和浏览器劫持。不随意浏览来历不明的网站,不点击陌生的网页链接。建议使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用OpenClaw速率限制和日志审计功能,遇到可疑行为立即断开网关并重置密码。
6.建立有效防护机制。师生可以结合网络安全防护工具、主流杀毒软件进行实时防护。要定期关注OpenClaw官方安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警,及时处置可能存在的安全风险。
网络安全无小事,望师生提高防范意识,审慎使用高权限开源工具,共筑校园防线,守护个人及学校信息安全。
信息技术中心