3 月 8 日消息，OpenClaw（曾用名 Clawdbot、Moltbot）是一個(gè)近期爆火的 AI 智能體，核心競(jìng)爭(zhēng)力在于“主動(dòng)自動(dòng)化”能力，該 AI 智能體無(wú)需用戶發(fā)出指令，即可自主清理收件箱、預(yù)訂服務(wù)、管理日歷及處理其他事務(wù)。目前，網(wǎng)上已新增大批養(yǎng)龍蝦人。

據(jù)央視新聞今日?qǐng)?bào)道，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)監(jiān)測(cè)發(fā)現(xiàn)，OpenClaw（俗稱“龍蝦”）開(kāi)源 AI 智能體部分實(shí)例在默認(rèn)或不當(dāng)配置情況下存在較高安全風(fēng)險(xiǎn)，極易引發(fā)網(wǎng)絡(luò)攻擊、信息泄露等安全問(wèn)題。

另外，由于 OpenClaw 在部署時(shí)“信任邊界模糊”，且具備自身持續(xù)運(yùn)行、自主決策、調(diào)用系統(tǒng)和外部資源等特性，在缺乏有效權(quán)限控制、審計(jì)機(jī)制和安全加固的情況下，可能因指令誘導(dǎo)、配置缺陷或被惡意接管，執(zhí)行越權(quán)操作，造成信息泄露、系統(tǒng)受控等一系列安全風(fēng)險(xiǎn)。

建議相關(guān)單位和用戶在部署和應(yīng)用 OpenClaw 時(shí)，充分核查公網(wǎng)暴露情況、權(quán)限配置及憑證管理情況，關(guān)閉不必要的公網(wǎng)訪問(wèn)，完善身份認(rèn)證、訪問(wèn)控制、數(shù)據(jù)加密和安全審計(jì)等安全機(jī)制，并持續(xù)關(guān)注官方安全公告和加固建議，防范潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

據(jù)此前報(bào)道，密碼管理工具 1Password 于今年 2 月 2 日發(fā)布博文，其安全團(tuán)隊(duì)發(fā)現(xiàn)有攻擊者利用 OpenClaw 向 macOS 用戶散播和植入惡意軟件。攻擊者利用了 OpenClaw 的“技能”（Skills）文件，這些通常為 Markdown 格式的文件本用于指導(dǎo) AI 學(xué)習(xí)新任務(wù)，卻被黑客偽裝成合法的集成教程。