国家互联网应急中心提醒大伙儿,“小龙虾”这款东西已经有了四大严重的安全漏洞。最近这段时间,大家用OpenClaw(也就是以前叫Clawdbot、Moltbot的那个“小龙虾”)特别火,好多国内的主流云平台都直接给它提供了一键部署服务。这是个能听你自然语言指令就直接去操控电脑的软件。为了让它能自己去完成任务,它拿到了很高的系统权限,比如能翻本地文件、读环境变量、调用外部的API接口还有安装扩展功能。不过这东西默认的安全设置弱得很,只要被黑客逮到一个漏洞,就能把你整个系统的控制权都抢走。之前因为没装好或者没管好用它,已经闹出不少大问题了。第一就是“提示词注入”风险,黑客可以在网页里藏点坏指令,骗“小龙虾”去读那个网页,结果它就乖乖把你的系统密钥给交出去了。第二是“误操作”风险,“小龙虾”有时候会误解你的意思,比如可能把你的邮件或者公司的核心数据全给删了。第三是功能插件投毒风险,不少装给“小龙虾”用的技能其实是坏插件或者有隐患的,安上了之后能直接偷钥匙、下木马让你的设备变成别人的傀儡。第四是安全漏洞风险,“小龙虾”到现在已经暴露出不少高危漏洞了,要是被坏人盯上利用,轻则让你的隐私照片、支付账号、API密钥被偷,重则让金融能源这些行业的核心数据泄露或者让整个系统瘫痪。 针对这些情况,给大家提几个建议:一是要管好网络控制,别把“小龙虾”的管理端口直接暴露在公网上,得设点身份认证、访问控制什么的来管人。运行环境也得严格隔离一下,用容器这种技术把权限限制住;二是要看好凭证,千万别在环境变量里明文写密码;三是要建个完整的操作日志来查账;四是要盯着补丁更新,发现了新补丁赶紧装上去。