中國互聯網金融協會發布OpenClaw應用安全的風險提示

安全風險概述

OpenClaw智能體雖能提升工作效率，但其默認的高系統權限與弱安全配置，極易被攻擊者利用，成為竊取敏感數據或非法操控交易的突破口，給行業帶來嚴峻的風險挑戰。

主要風險類型

• 提示詞注入風險：網絡攻擊者通過在網頁中構造隱藏的惡意指令，誘導OpenClaw讀取該網頁，可能導致系統被操控或敏感信息洩露。
• 功能插件投毒風險：多個適用於OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險，安裝後可執行竊取密鑰、部署木馬後門軟件等惡意操作。
• 誤操作風險：由於系統設計缺陷，用戶可能在不知情下執行危險操作，導致數據被非法訪問或系統被入侵。

使用建議

• 建議用戶在辦理網上銀行、證券交易、支付等個人金融業務的終端上極其謹慎安裝OpenClaw。
• 如確有必要安裝，應不授予金融服務類系統操作權限，避免高權限暴露。
• 及時跟進OpenClaw漏洞修復，確保系統更新至最新安全版本。
• 嚴控功能插件安裝，僅安裝官方認證且安全的功能模塊。
• 不在使用時輸入身份證號、銀行卡號、支付密碼等敏感信息。
• 使用者應使用官方最新版本，從官方渠道下載，並開啟自動更新提醒。
• 在升級前備份數據，升級後重啟服務並驗證補丁生效。
• 避免使用第三方渠道分發的版本，以防攜帶惡意代碼。

成本與使用提醒

OpenClaw在運行過程中持續調用大模型接口，可能會產生較高的Token費用，建議使用者密切關注使用成本與費用結構。

來源：https://www.panewslab.com/zh/articles/019cf026-5cb2-754a-892b-7d67ea16e1d4