近日��,開源AI智能體框架OpenClaw(俗稱“龍蝦”)在網(wǎng)絡(luò)上快速走紅����。3月10日�����,國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布安全風(fēng)險(xiǎn)提示���,指出該工具默認(rèn)配置脆弱�����、權(quán)限過(guò)高帶來(lái)的網(wǎng)絡(luò)與數(shù)據(jù)隱患�����。
據(jù)澎湃新聞報(bào)道,目前�,已有多所高校要求防范OpenClaw安全風(fēng)險(xiǎn)���。
其中,有高校明確�����,如確需學(xué)習(xí)測(cè)試OpenClaw功能����,請(qǐng)嚴(yán)格遵守以下要求:嚴(yán)禁在生產(chǎn)環(huán)境和辦公電腦安裝�、嚴(yán)禁向其提供任何敏感信息、嚴(yán)禁直接開放公網(wǎng)訪問(wèn)��。
有高校發(fā)布通知,“即日起�,全校教職工嚴(yán)禁在任何辦公設(shè)備、教學(xué)終端及校園網(wǎng)絡(luò)環(huán)境下(含VPN遠(yuǎn)程連接終端)����,安裝���、運(yùn)行、使用OpenClaw軟件本體���、衍生版本、配套插件及第三方技能腳本�����?����!?/p>
也有高校提醒:全校師生應(yīng)結(jié)合自身實(shí)際需求理性看待該工具,切勿因跟風(fēng)心理盲目安裝�����、部署“龍蝦”AI智能體����,尤其避免在接入校園網(wǎng)的設(shè)備、辦公電腦�����、存儲(chǔ)有個(gè)人敏感信息和工作數(shù)據(jù)的設(shè)備上使用;校內(nèi)各單位��、教職工嚴(yán)禁在處理教學(xué)科研數(shù)據(jù)、行政辦公信息��、學(xué)生信息等工作場(chǎng)景中使用該工具,杜絕校園工作數(shù)據(jù)泄露����、系統(tǒng)受攻擊等問(wèn)題����,守住校園數(shù)據(jù)安全底線等。
多家券商禁止員工使用OpenClaw
據(jù)界面新聞報(bào)道��, 有券商近期已發(fā)布內(nèi)部通知�����,提示員工防范OpenClaw帶來(lái)的安全風(fēng)險(xiǎn)�, 還有券商已明確禁止員工在公司電腦等辦公資產(chǎn)上安裝、使用OpenClaw。
“我們已經(jīng)發(fā)了通知���,禁止私自安裝龍蝦?����!倍嗉翌^部券商人士透露,同時(shí)����,也有數(shù)家券商員工表示尚未收到通知�。
部分社交平臺(tái)警示OpenClaw相關(guān)安全問(wèn)題
3月11日��,@抖音黑板報(bào) 發(fā)文����,近期���,OpenClaw(俗稱“龍蝦”)等智能體相關(guān)內(nèi)容在抖音平臺(tái)的熱度持續(xù)攀升����,大量用戶涌入“養(yǎng)龍蝦”圈�,部分不法分子借機(jī)實(shí)施詐騙�、惡意引流等違法違規(guī)行為�,嚴(yán)重威脅用戶財(cái)產(chǎn)與信息安全��。
平臺(tái)稱��,將持續(xù)加強(qiáng)安全巡查,嚴(yán)厲打擊借熱點(diǎn)實(shí)施詐騙��、引流�、植入惡意程序等違規(guī)行為��,依法處置相關(guān)違規(guī)賬號(hào)與內(nèi)容。
工信部發(fā)布“六要六不要”建議
3月11日���,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)發(fā)布關(guān)于防范OpenClaw(“龍蝦”)開源智能體安全風(fēng)險(xiǎn)的“六要六不要”建議。(一)使用官方最新版本�����。要從官方渠道下載最新穩(wěn)定版本�,并開啟自動(dòng)更新提醒�;在升級(jí)前備份數(shù)據(jù)�,升級(jí)后重啟服務(wù)并驗(yàn)證補(bǔ)丁是否生效����。不要使用第三方鏡像版本或歷史版本。
(二)嚴(yán)格控制互聯(lián)網(wǎng)暴露面��。要定期自查是否存在互聯(lián)網(wǎng)暴露情況��,一旦發(fā)現(xiàn)立即下線整改�。不要將“龍蝦”智能體實(shí)例暴露到互聯(lián)網(wǎng)����,確需互聯(lián)網(wǎng)訪問(wèn)的可以使用SSH等加密通道�����,并限制訪問(wèn)源地址����,使用強(qiáng)密碼或證書�����、硬件密鑰等認(rèn)證方式����。
(三)堅(jiān)持最小權(quán)限原則��。要根據(jù)業(yè)務(wù)需要授予完成任務(wù)必需的最小權(quán)限�����,對(duì)刪除文件、發(fā)送數(shù)據(jù)��、修改系統(tǒng)配置等重要操作進(jìn)行二次確認(rèn)或人工審批�。優(yōu)先考慮在容器或虛擬機(jī)中隔離運(yùn)行��,形成獨(dú)立的權(quán)限區(qū)域��。不要在部署時(shí)使用管理員權(quán)限賬號(hào)����。
(四)謹(jǐn)慎使用技能市場(chǎng)�。要審慎下載ClawHub“技能包”,并在安裝前審查技能包代碼。不要使用要求“下載ZIP”“執(zhí)行shell腳本”或“輸入密碼”的技能包�����。
(五)防范社會(huì)工程學(xué)攻擊和瀏覽器劫持����。要使用瀏覽器沙箱���、網(wǎng)頁(yè)過(guò)濾器等擴(kuò)展阻止可疑腳本����,啟用日志審計(jì)功能,遇到可疑行為立即斷開網(wǎng)關(guān)并重置密碼����。不要瀏覽來(lái)歷不明的網(wǎng)站、點(diǎn)擊陌生的網(wǎng)頁(yè)鏈接����、讀取不可信文檔����。
(六)建立長(zhǎng)效防護(hù)機(jī)制���。要定期檢查并修補(bǔ)漏洞�,及時(shí)關(guān)注OpenClaw官方安全公告、工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)等漏洞庫(kù)的風(fēng)險(xiǎn)預(yù)警。黨政機(jī)關(guān)�����、企事業(yè)單位和個(gè)人用戶可以結(jié)合網(wǎng)絡(luò)安全防護(hù)工具、主流殺毒軟件進(jìn)行實(shí)時(shí)防護(hù)�,及時(shí)處置可能存在的安全風(fēng)險(xiǎn)。不要禁用詳細(xì)日志審計(jì)功能。
審慎使用
