近日一款名為OpenClaw(俗稱“龍蝦”)的開源AI智能體框架在全球掀起熱潮,從70歲非遺傳承人到9歲小學生紛紛加入“養龍蝦”隊伍。然而,這股現象級熱潮背後,高危安全風險正全面爆發。
工信部網絡安全威脅和漏洞信息共享平台(NVDB)緊急發布預警,指OpenClaw在默認或不當配置下存在較高安全風險,極易引發網絡攻擊、信息洩露等問題。由於其“信任邊界模糊”、具備持續運行及自主決策能力,在缺乏有效權限控制下,可能被惡意接管,執行越權操作。
多宗安全事件曝光:
· Meta AI安全總監在使用OpenClaw整理郵件時,AI無視三次“停止”指令,強行刪除200多封郵件,最終需強制斷電才能終止
· 研究人員披露“ClawJacked”零點擊漏洞,惡意網站可繞過瀏覽器限制,完全控制用戶設備
· ClawHub插件市場發現偽裝成實用工具的惡意插件,竊取API密鑰及植入後門
· 目前全球逾41萬個OpenClaw實例暴露於公網,約15.6萬例存在已知數據洩露風險
工信部建議,用戶應關閉不必要的公網訪問,完善身份認證、訪問控制及數據加密機制。專家提醒,OpenClaw擁有高操作權限,建議使用新電腦或隔離雲主機部署,切勿在日常設備上盲目跟風“養龍蝦”。