即时国际

OpenClaw多项漏洞 中国发布国家级“安全警告”

(北京10日综合电)中国国家互联网应急中心近日发布资安警示指出,人工智慧代理软体“OpenClaw”(小龙虾,曾用名Clawdbot、Moltbot)近期在网路上迅速走红,不仅下载量大增,许多主流云端平台也提供一键部署服务。

不过,中国国家互联网应急中心提醒,这一系统预设安全设定较为薄弱,如果使用或部署不当,或让骇客取得系统控制权,导致资料外泄或设备遭入侵。

Advertisement

中国国家互联网应急中心表示,OpenClaw是一款可透过自然语言指令直接操作电脑的智慧代理程式,为了完成自动化任务,系统通常会被授予较高权限,包括存取本机档案系统、读取环境变数、呼叫外部应用程式介面(API),以及安装各类扩充功能。

中国国家互联网应急中心指出,由于预设安全机制较为松散,一旦遭到攻击者利用漏洞,可能让整个系统被完全控制,进而对装置或资料造成安全风险。

目前已观察到多项潜在威胁。其中包括“提示词注入”攻击,骇客可在网页中埋入隐藏指令,诱导系统读取内容后泄露使用者的系统密钥的敏感资讯。

此外,也存在误操作风险,假若系统误判使用者指令,可能导致电邮或重要资料被删除。部分扩充功能也被确认为恶意程式,安装后可能窃取金钥或植入后门,使设备沦为僵尸网路节点。

ADVERTISEMENT

目前,OpenClaw已被揭露多项中高风险漏洞。中国国家互联网应急中心提到,要是漏洞遭恶意利用,可能造成系统被远端操控、隐私资讯与敏感资料外泄。对个人使用者而言,照片、文件、聊天纪录或支付帐户资讯都可能遭窃;对金融、能源关键产业,甚至可能导致核心资料外流或系统停摆。

中国国家互联网应急中心建议,使用者在部署OpenClaw时应强化网路管控,例如避免将管理端口直接暴露在公网,并透过身分验证与存取控制进行安全管理,同时妥善保护密钥资料并建立操作纪录机制。

另外,也建议严格管控插件来源,仅从可信管道安装经签章验证的扩充程式,并持续关注官方释出的安全更新与漏洞修补,及时进行系统升级。

標籤
你也可能感兴趣...
Close