國家工業信息安全發展研究中心發佈工業領域OpenClaw應用風險預警

風險概述

國家工業信息安全發展研究中心於3月12日發佈《關於工業領域OpenClaw應用的風險預警通報》，指出開源AI智能體OpenClaw（俗稱“龍蝦”）在工業場景中存在多類安全風險，可能對產線控制、數據安全及網絡滲透造成嚴重威脅。

主要風險類別

• 高權限越權操作：若系統權限配置不當，攻擊者可能通過越權操作導致產線失控。
• 惡意插件與誤操作：惡意插件或用戶誤操作可能導致關鍵圖紙、密鑰及生產數據洩露。
• 默認暴露端口與已知漏洞：系統默認開放端口及已知漏洞可能被利用，放大內網滲透風險。
• 提示詞注入攻擊：攻擊者可通過惡意網頁、郵件或文件構造隱藏指令，誘導OpenClaw執行越權操作，直接導致系統密鑰、核心數據及個人隱私洩露。
• 高危漏洞頻發：產品迭代期間連續曝出多個高中危遠程代碼執行漏洞，反向代理配置缺陷可直接導致認證繞過，攻擊者無需複雜操作即可獲取系統控制權。

安全建議

為防範上述風險，建議企業落實以下措施：
1. 實施最小權限原則，限制系統訪問權限。
2. 加強網絡隔離，防止橫向移動與數據外洩。
3. 及時更新官方版本，修補已知漏洞。
4. 嚴格管控第三方插件來源，杜絕非官方組件安裝。

來源：https://www.panewslab.com/zh/articles/019ce192-e3c2-77e5-afbb-226a0d263076