最昨日傍晚,国家网络安全通报中心发布《OpenClaw风险预警》,指出这款凭借强大自动化任务处理能力与开放式插件生态在全球引发部署热潮的工具,存在重大安全风险。监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中境内约2.3万个,呈现爆发式增长态势,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。
通报详细剖析了OpenClaw存在的多方面安全风险。其多层架构设计存在缺陷,从IM集成网关到智能体执行层均可能被攻击者突破,伪造消息绕过认证、修改AI行为甚至完全控制操作系统。默认配置方面,OpenClaw绑定公网地址且无认证机制,高达85%的资产暴露于互联网,敏感信息明文存储,极易被窃取。漏洞管理同样堪忧,历史披露漏洞多达258个,近期82个漏洞中超危和高危占33个,命令注入、路径遍历等漏洞利用难度低。更令人担忧的是其插件生态,对ClawHub上3016个技能插件分析发现,超10%含恶意代码,17.7%会获取不可信第三方内容,2.9%可从外部动态获取执行内容,攻击者可远程篡改AI逻辑。此外,智能体行为难以管控,可能越权执行任务,导致数据删除、信息盗取甚至设备被接管。
为防范风险,通报建议用户及时从可信来源升级版本,仅在本地或内网运行并配置身份认证,谨慎安装第三方插件,加强账户认证管理,并对智能体执行权限进行白名单限制。网络安全专家提醒,相关单位及个人应立即排查整改,避免沦为网络攻击的跳板。
原创文章,作者:秋秋,如若转载,请注明出处:https://www.kejixun.co/article/747335.html
