國家互聯網應急中心發佈OpenClaw安全應用風險提示
安全風險概述
國家互聯網應急中心於3月10日發佈關於OpenClaw安全應用的風險提示。該應用被授予了較高的系統權限,包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(API)以及安裝擴展功能等。然而,由於其默認的安全配置極為脆弱,攻擊者一旦發現突破口,便能輕易獲取系統的完全控制權。
已出現的安全風險
- 提示詞注入風險:網絡攻擊者通過在網頁中構造隱藏的惡意指令,誘導OpenClaw讀取並執行,可能導致用戶系統密鑰被髮送至外部。
- 誤操作風險:用戶在使用過程中可能因操作不當引發系統異常。
- 功能插件(skills)投毒風險:惡意插件可能被植入,影響系統正常運行。
- 安全漏洞風險:應用本身存在未修復的安全漏洞,可能被遠程利用。
安全建議
建議相關單位和個人用戶在部署和應用OpenClaw時,採取以下安全措施:
- 強化網絡控制
- 加強憑證管理
- 嚴格管理插件來源,禁用自動更新功能
- 持續關注補丁和安全更新,及時進行版本更新和安裝安全補丁