3月8日,工信部的NVDB把“龙虾”在默认配置或不当使用下会引发网络攻击、信息泄露的情况进行了紧急通报,原因是OpenClaw在部署时的信任边界模糊,拥有自主决策和调用资源的能力,且缺乏权限控制、审计和加固措施,可能因指令诱导、配置缺陷或被恶意接管而导致风险。对于个人用户,若其敏感信息、支付账户和API密钥遭窃取会遭受损失;而对于金融、能源等关键行业,核心业务数据、商业机密和代码仓库泄露会造成瘫痪,损失巨大。这个火爆全网的AI智能体由奥地利程序员Peter Steinberger开发,因其图标似红色龙虾被称为“龙虾”,它不仅能回答问题,还能执行指令完成操作。 3月10日,国家互联网应急中心通过微信公众号把关于OpenClaw的风险提示公布出来。该应用原名Clawdbot和Moltbot,近期下载和使用情况火爆,国内主流云平台均提供了一键部署服务。为了让它能自主执行任务,系统给了它较高的权限,比如访问本地文件系统、读取环境变量、调用外部API和安装扩展功能。但由于默认安全配置极脆弱,攻击者一旦找到突破口就能轻易获取控制权。此前的不当安装和使用已带来严重风险:一是攻击者在网页中构造恶意指令诱骗“龙虾”读取时可能导致密钥泄露;二是它可能因误解指令把重要信息删除;三是多个功能插件已被确认为恶意或有潜在风险,安装后可执行窃取密钥等操作让设备沦为“肉鸡”;四是已曝出多个高中危漏洞,利用后可能导致系统受控和数据泄露。 对于相关单位和个人,建议采取四项安全措施:强化网络控制、不暴露默认管理端口、使用容器限制权限;加强凭证管理、不在环境变量明文存储密钥、建立日志审计机制;严格管理插件来源、禁用自动更新、只从可信渠道安装经过验证的扩展程序;持续关注补丁和更新并及时安装。