近期,OpenClaw(“小龍蝦”,曾用名Clawdbot、Moltbot)應用下載與使用情況火爆,國內主流云平臺均提供了一鍵部署服務。此款智能體軟件依據自然語言指令直接操控計算機完成相關操作。為實現“自主執行任務”的能力,該應用被授予了較高的系統權限,包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(API)以及安裝擴展功能等。然而,由于其默認的安全配置極為脆弱,攻擊者一旦發現突破口,便能輕易獲取系統的完全控制權。
建議相關單位和個人用戶在部署和應用OpenClaw時,采取以下安全措施:
1.強化網絡控制,不將OpenClaw默認管理端口直接暴露在公網上,通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理。對運行環境進行嚴格隔離,使用容器等技術限制OpenClaw權限過高問題;
2.加強憑證管理,避免在環境變量中明文存儲密鑰;建立完整的操作日志審計機制;
4.持續關注補丁和安全更新,及時進行版本更新和安裝安全補丁。(華爾街見聞)
