大家都知道周睿明编辑的这条消息,国际互联网应急中心刚把OpenClaw的安全应用风险给发了出来。最近啊,OpenClaw可火了,大家叫它小龙虾,之前还叫Clawdbot、Moltbot呢。国内那些大平台都在推一键部署服务。这个软件就是个智能体,你跟它说话它就帮你操作电脑。为了让它能干这些活,就给它开了很高的权限,能访问本地文件、读取环境变量、调用API还有装扩展功能。可问题是,默认的安全配置太脆弱了,只要被发现一点漏洞,电脑就可能被人家完全控制。 之前因为安装和使用不对头,已经出过不少大事:有人通过网页里藏的恶意指令,让OpenClaw泄露系统密钥;它也会误操作把邮件或者核心数据删掉;更有甚者,好多功能插件都有问题,一装上就可能窃取信息或者放后门;还有已经曝出的那些漏洞,被利用后后果很严重。 对个人来说,照片、文档、聊天记录这些隐私数据可能就没了;对银行、能源这些行业来说,商业机密和代码库泄漏了会让业务瘫痪,损失巨大。 所以给大家提个醒:第一别把默认管理端口直接放在公网上,通过认证和访问控制来管;第二别在环境变量里明文存密钥;第三别乱装插件和自动更新;第四盯着补丁升级。