OpenClaw丨國家互聯網應急中心發布龍蝦安全應用風險提示

國家互聯網應急中心發布關於OpenClaw(小龍蝦)安全應用的風險提示，稱近期OpenClaw應用下載與使用情況火爆，國內主流雲平台均提供了一鍵部署服務。此款智能體軟件依據自然語言指令直接操控電腦完成相關操作。然而，由於其預設的安全配置極為脆弱，攻擊者一旦發現突破口，便能輕易獲取系統的完全控制權。

由於OpenClaw智能體的不當安裝和使用，前期已經出現了一些嚴重的安全風險，1)「提示詞注入」風險，網絡攻擊者通過在網頁中構造隱藏的惡意指令，誘導OpenClaw讀取該網頁，就可能導致其被誘導將用戶系統密匙洩露。

2)「誤操作」風險。由於錯誤的理解用戶操作指令和意圖，OpenClaw可能會將電子郵件、核心生產數據等重要訊息徹底刪除。3)功能插件(skills)投毒風險。多個適用於OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險，安裝後可執行竊取密匙、部署木馬後門軟件等惡意操作，使得設備淪為「肉雞」。

4)安全性漏洞風險。截止目前，OpenClaw已經公開曝出多個高中危漏洞，一旦這些漏洞被網攻擊者惡意利用，則可能導致系統被控、隱私訊息和敏感性數據洩露的嚴重後果。

應急中心建議，相關單位和個人用戶在部署和應用OpenClaw時，應採取多項安全措施，包括強化網絡控制，不將OpenClaw默認管理端口直接暴露在公網上；加強憑證管理；嚴格管理插件來源，禁用自動更新功能；持續關注補丁和安全更新，及時進行版本更新和安裝安全補丁。