近期,一款名為OpenClaw的開源AI智能體引發廣泛關注,其紅色龍蝦圖標和“定制化AI助手”的定位讓“養龍蝦”成為網絡熱詞。這款工具通過整合多模態交互能力與大語言模型,支持本地私有化部署,能夠構建具備長期記憶和自主執行能力的智能體。然而,隨著其熱度攀升,網絡安全問題也逐漸浮出水面。
工業和信息化部網絡安全威脅監測平臺披露,部分OpenClaw實例因默認配置不當存在顯著安全隱患。由于該工具在運行過程中涉及模糊的信任邊界,且具備自主調用系統資源、執行決策等特性,若未實施嚴格的權限管控和安全加固,可能因指令誘導或配置漏洞導致越權操作,進而引發數據泄露、系統入侵等風險。全國人大代表、中國工程院院士高文特別提醒,涉及金融支付等敏感場景時需保持高度警惕,平臺運營方應強化安全評估義務。
技術分析顯示,OpenClaw的安全風險主要源于三大特性:其一,持續運行的自主決策機制可能繞過常規安全審查;其二,對系統和外部資源的調用權限缺乏分級管理;其三,默認配置下公網暴露面過大。監測數據顯示,未修改默認端口的實例遭受網絡攻擊的概率較加固后實例高出7倍,其中不乏針對憑證竊取的定向攻擊。
針對部署安全,專家提出五項關鍵建議:首先,隔離運行環境,避免在工作終端直接安裝,推薦使用Docker容器、虛擬機或云端專用實例;其次,強制修改默認端口,限制Web界面僅允許本地訪問,并通過官方審核工具篩查技能插件安全性;再者,實施最小權限原則,對財務操作、文件訪問等高風險功能建立人工確認機制;需設置API調用配額并監控異常流量,防止因自動化任務產生超額費用;最后,明確工具定位,避免過度依賴其完成復雜決策任務。
目前,OpenClaw開發團隊已發布安全配置指南,重點強化了身份認證、數據加密和審計日志功能。但安全專家強調,開源工具的安全責任需要開發者與使用者共同承擔,用戶應定期更新版本并關注官方安全公告,在享受技術紅利的同時筑牢安全防線。
