报告里说了个挺吓人的事儿,咱们得防着点。奇安信那边在3月16日发了个报告,讲全球已经揪出了20471个OpenClaw实例,它们可能藏着漏子。更要命的是,这当中有13643个IP地址,接近9%的互联网上暴露的OpenClaw资产都不安全。要是有人钻空子利用这些漏洞,信息泄露、系统被控制这种事就很容易发生。搞技术的柯强说,这些漏洞一旦被黑客盯上,后果不堪设想。 说到Skills,这是AI Agent生态里特别重要的东西,能让机器人去操作文件、写代码、调用API。不过因为太开放了,现在也成了坏人的攻击靶子。报告里提到,现在Skills供应链里投毒的情况很火,恶意代码通过提示词注入、远程执行、偷数据或者忽悠人的手段害人。还有一个趋势挺让人头疼,那就是仿冒域名越来越多。现在已经发现有3500多个假域名了,有的是抢注好名字的,有的是挂羊头卖狗肉的。而且这数量还在随着热度升高继续涨呢。 其实工业和信息化部的网络安全平台之前也发过预警,说OpenClaw在好些典型的应用里风险都挺大。比如办公的时候会有供应链攻击的问题,开发运维那边设备信息容易被偷走或者被劫持,甚至在金融交易场景里还能搞出错账或者账户被抢走的事儿。中国信息通信研究院的魏亮副院长说过,“龙虾”这种本地运行的代理机器人挺灵活的,但信任界限有时候划不清,再加上市场上对Skills的审核不严格,隐患不少。他提醒大家,无论是单位还是个人用这些智能体都得小心点。