中新网3月10日电 据“国家互联网应急中心CNCERT”微信公众号消息,OpenClaw(“小龙虾”,原名Clawdbot、Moltbot)应用近期快速下载使用,全国各大云平台均提供一键部署服务。这种智能代理软件直接控制计算机,根据自然语言指令完成相关操作。为了实现“自主执行任务”的能力,应用程序被授予更高级别的系统权限,例如访问本地文件系统、读取环境变量、调用外部服务的应用程序编程接口(API)以及安装扩展。然而,默认的安全设置非常薄弱,一旦攻击者发现漏洞,他们就可以轻松地完全控制您的系统。
1、“快速词注入”风险。通过构建隐藏在网络中的恶意指令页面,网络攻击者可能会诱骗 OpenClaw 读取该网页,并可能危及用户的系统密钥。
2.“故障”风险。由于误解用户指令或意图,OpenClaw 可能会永久删除敏感信息,例如电子邮件和关键生产数据。
3. 沉迷于功能附加组件(技能)的危险。 Several feature plugins that are suitable for OpenClaw have been identified as malicious plugins or with potential security risks.一旦安装,它就可以执行窃取密钥或部署木马式后门软件等恶意操作,使设备变成“肉鸡”。
4. 安全漏洞的风险。迄今为止,OpenClaw 已披露了许多高风险和中风险漏洞。如果网络攻击者利用这些漏洞,可能会导致系统接管、个人和敏感数据泄露等严重后果。对于用户来说,这可能会导致个人敏感信息被盗数据(照片、文档、聊天记录等)、支付账户、API密钥等。对于金融、能源等主要行业来说,可能导致核心业务数据、商业秘密、代码库的泄露,甚至导致整个业务系统瘫痪,造成难以估量的损失。
我们建议组织和个人用户在实施和应用 OpenClaw 时采取以下安全预防措施:
1、加强网络控制,不将OpenClaw默认管理端口直接暴露到公共网络,通过身份认证、访问控制等安全控制,安全管理OpenClaw服务访问。严格隔离运行环境,并利用容器等技术限制OpenClaw权限过高的问题。
2. 更好地控制您的凭据,并避免在环境变量中以纯文本形式存储密钥。建立完善的运营记录审核机制。
3. 严格控制插件来源,禁用e 自动更新,并且仅安装具有来自可信渠道的经过验证的签名的扩展。
4、请持续关注安全补丁和更新,更新您的版本,及时安装安全补丁。 【编辑:曹子健】
“治愈”、享受春天已成为中国年轻人的一种潮流。 “精神充电”成为新宠。
为什么现代韩国还需要了解汉字?
父子接力,保味。港头卤面传递着海外华人的乡愁。
世界上的身体活动水平是多少?最新研究表明,20年来他们没有进步
董明珠说了实话
野菜“发现”新商机 春季“野猎”成年轻人互动新方式
控制与控制混沌的区别|新漫画评论。
华春莹“一次吃两个”岭南橙红“O”范围城”的润喉糖。
载人登月的第一步应该从哪里迈出?中国学者主导对可能着陆点的分析
有的商店最低价为20元。 《偷星》降价了吗?
“养虾热潮”引发科技巨头之间的新战争
《两所高中》报道中提到了几个热点案件。
美国与伊朗激战,金价暴跌
这些重大、重大案件均被写入最高人民检察院的报告。
如果选出新的伊朗最高领袖,伊朗将拥有哪些权力?
伊朗新任最高领袖穆吉塔巴有何来历?
两届会议,书记、省长积极为当地“带物资”。
新兴支柱产业迈向10万亿元广阔蓝海