国家互联网应急中心最近给咱们提了个醒,是关于OpenClaw的,北京商报记者魏蔚3月10日的消息里有讲。现在这款软件特别火,国内那些主流的云平台都给大家提供了一键部署的功能,哪怕是叫Clawdbot或者Moltbot的时候也是这样。大家用它的时候,只要输入个自然语言指令,它就能直接操控电脑去干活。为了能让它自己去执行任务,开发者给了它不少权限,像是看本地文件、读环境变量、调用外部API,甚至安装扩展功能都没问题。但就因为它默认的安全设置太差劲了,万一让黑客找到了口子,他们就能轻轻松松把整个系统的控制权全抢走。针对这种情况,应急中心也给相关单位和个人提了四条建议。第一条就是把网络这块儿管严点,别把OpenClaw默认的管理端口随便暴露在公网上,最好加个身份认证和访问控制什么的。另外还要把运行环境给隔离开来,用容器技术把权限限制住。第二条是要把凭证管好别乱存密钥这种关键东西。第三点是得建个完整的操作日志审计机制。最后也是最重要的一条就是盯着补丁和更新看,发现新版本或者新补丁赶紧装上。