最近,国家互联网应急中心和中国网络空间安全协会给咱们出了个安全使用OpenClaw的指南。他们把建议都列出来了,主要针对的是普通用户、企业还有云服务商。中国工业信息化部早就提醒过大家,说OpenClaw这种自主决策的能力可能会让人担心数据泄露或者是系统控制权出问题。 给普通用户的建议呢,就是最好用专用设备或者是虚拟机来安装OpenClaw,别跟其他程序混在一块儿。如果是云服务商呢,就得做好云主机的安全防护,还有供应链和数据这块儿的保护工作。 韩联社那边也报道了,说这指南就是想帮大家安全使用OpenClaw的。他们特别指出,别在日常办公电脑上装这个软件,最好是隔离在专门的设备或者虚拟机里运行。还有就是不能用管理员或者超级用户的权限去跑OpenClaw,也不能在里面存个人信息。 以前啊,韩国那边的Naver、Kakao还有Dailylife都发话了,不让公司内部用这个软件。不过最劲爆的还是Peter给360安全云团队发邮件确认的事。360团队独家发现了OpenClaw Gateway WebSocket那个没认证就升级的漏洞,这可是个0Day漏洞呢。 他们已经把这个高危漏洞给国家信息安全漏洞共享平台(CNVD)报上去了,帮全网赶紧切断风险源。这个漏洞太可怕了,能让攻击者通过WebSocket偷偷绕过权限认证,拿到智能体网关的控制权,结果就是系统资源耗光或者直接崩溃。