最近“小龙虾”火了,国家互联网应急中心给大家提了个醒。其实这玩意儿就是OpenClaw,以前也叫Clawdbot、Moltbot。国内的云平台都支持它一键部署,搞得下载和使用的人特别多。 别看它能听人话,让人点几下就完成任务,它可是有大权限的,连本地文件都能随便翻,还能调API装插件。但这个安全设置太弱了,只要有人找着缝进去,系统就完了。 之前因为安装不当出事的不少。第一种就是“提示词注入”,坏人在网页里藏恶意命令,引诱你打开,可能把你的密钥偷跑。 第二种是误操作。OpenClaw有时候理解错了你的意思,万一把重要邮件或者生产数据直接删了,那可就惨了。 还有插件投毒的问题。现在发现好些适配它的插件是坏的,装了以后能偷密钥、放后门,把你的设备变成别人的“肉鸡”。 再就是漏洞问题。截止目前已经爆了好几个高中危的漏洞,一旦被利用,系统可能就被控制了。 对个人来说,照片、聊天记录还有支付账户的API密钥都可能被偷;对金融能源这些关键行业更危险,核心业务数据和代码仓库泄露不说,甚至可能让整个业务瘫痪。 建议大家在用的时候小心点: 一、网络控制要严。别把默认管理端口直接对着公网开,加个认证访问控制来管一管。环境也得分开,用容器技术把权限限制一下。 二、凭证管好别乱放。环境变量里千万别放明文的密钥;建立个日志审计机制看看谁动了手。 三、插件来源得靠谱。别自动更新了,只从可信渠道装那种签名验证过的扩展程序。 四、补丁要及时打。一直关注更新情况,一有新版本或者安全补丁就得赶紧装上去。 编辑:冉运芳、李逸伟 校对:向念、王波 审核:于锋