国家互联网应急中心的工作人员给大家提个醒,他们发现最近很火的OpenClaw(也叫Clawdbot或者Moltbot)这个智能软件存在一些安全隐患。这家伙能直接听命令干活,为了让它自己能把活干漂亮,权限给得特别大,能看本地文件、读环境变量、调用API甚至装插件。可就是因为默认设置太弱了,黑客很容易就能把系统全给控制了。之前已经发生过因为装得不对、用得不当出了大问题的事:有人专门在网页里藏着恶意指令,骗OpenClaw去读,结果用户系统的钥匙就这么被泄露了。还有因为理解错了用户的意思,把重要的邮件和核心数据全给删没了。好几个给OpenClaw装的扩展程序也被发现是坏的,能偷偷偷密钥、装木马把设备变成“肉鸡”。截至现在,官方还曝出了好几个高中危漏洞,如果被坏人利用了,系统可能被锁死,隐私数据和钱袋子就保不住了,金融和能源这些重要行业要是中招,后果更是不堪设想。 所以建议大家在用这玩意儿的时候留个心眼儿:第一,别把默认的管理端口直接露在公网上,得设个身份验证或者权限限制啥的;运行的时候用容器隔离一下,别让权限太高;第二,千万别在环境变量里放明文密钥;得把操作记录记下来查着;第三,装插件的时候只认官方渠道和经过验证的签名软件;别开自动更新。最后记得一直盯着最新的补丁和更新,有新版本了赶紧装。