IT之家消息,今天国家工业信息安全发展研究中心也就是俗称的国家工信中心发出预警,指出工业领域里的OpenClaw应用藏着不小的安全风险。它原本就是一款开源AI智能体,以前叫Clawdbot或者Moltbot,能听懂人话直接操作电脑干活。现在大家都对它的“人机交互”模式特别感兴趣,打算把它用在工厂的设计、生产和管理上。不过,因为它的信任边界不清晰、接口太统一、调用模型太灵活、还有持久记忆这种功能,一旦权限没管好或者没审计,就容易被坏人利用指令或者供应链下毒给接管。这样一来,工控系统可能失控,敏感信息也会泄露,给工厂正常生产带来很大麻烦。工业界的数据敏感、系统复杂、流程严格,企业想用OpenClaw提高效率的时候,它那高权限的设计和自主决策的特性容易跟工业场景对不上号,就会导致越权、泄密或者被攻击的风险增加。比如在操作员站或者工程师站用它的时候,必须给它高权限才能帮忙干活。但它的权限管控有漏洞,很容易越权乱来,不听操作员指挥发错命令,干扰生产流程甚至弄坏设备。另外还有恶意插件问题,万一不小心装上了这些坏东西不设防,攻击者能直接偷走工业图纸和API密钥这些机密。再加上它对指令理解不准,可能错误调用数据导出功能,把原本隔离的关键参数直接发布到网上。更严重的是如果默认的网络监听没改或者边界没防护好,OpenClaw的管理界面就暴露在公网上。因为它已经有80多个漏洞被曝光了,坏人能低成本攻击它获取控制权。要是被攻陷了它还能当自动化助手去探测企业内部资产或利用漏洞横向移动扩大影响。为了安全起见建议企业参照工信部的相关指南和NVDB平台的“六要六不要”,部署OpenClaw的时候得加强防护措施。第一就是管好权限原则上别给系统级的权利操作系统和关键资源也不能随便让它调用实在需要授权得经过评估审批并持续监控防止它乱搞文件系统和网络资源第二就是做网络隔离最好把它放在独立区域里别直接连工控网也别把Web UI或者API接口暴露在互联网上要是需要远程访问就得用企业级VPN或者ZTNA来接管。