点击右上角微信好友

朋友圈

请使用浏览器分享功能进行分享

正在阅读:极易成为网络攻击重点目标 “养龙虾”要警惕这五类安全风险
首页> 科技频道> 综合新闻 > 正文

极易成为网络攻击重点目标 “养龙虾”要警惕这五类安全风险

来源:央视新闻2026-03-13 19:41

  OpenClaw自发布以来,凭借其强大的自动化任务处理能力与开放式插件生态,在全球范围内引发部署热潮。国家网络与信息安全信息通报中心监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中境内活跃的OpenClaw互联网资产约2.3万个,呈现爆发式增长态势,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的OpenClaw资产存在重大安全风险,极易成为网络攻击的重点目标。

  OpenClaw主要安全风险

  OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险,一旦被攻击者利用,可能导致服务器被控制、敏感数据泄露等严重安全问题。

  架构设计缺陷多,层层皆可破。

  OpenClaw采用多层架构,但是每层均存在设计缺陷。IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可被多轮对话修改AI智能体行为模式,执行层与操作系统直接交互存在被完全控制风险,产品生态层遭投毒的恶意技能插件可批量感染用户设备。

  默认配置风险高,公网暴露广。

  OpenClaw默认绑定0.0.0.0:18789地址并允许所有外部IP地址访问,远程访问无需账号认证,API密钥和聊天记录等敏感信息明文存储,公网暴露比例高达85%。

  高危漏洞数量多,利用难度低。

  OpenClaw历史披露漏洞多达258个,其中近期暴露的82个漏洞中,超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个,以命令和代码注入、路径遍历和访问控制漏洞类型为主,利用难度普遍较低。

  供应链投毒比例高,生态不安全。

  针对ClawHub的3016个技能插件分析发现,336个插件包含恶意代码,占比高达10.8%。17.7%的ClawHub技能插件会获取不可信第三方内容,成为间接引入安全隐患的载体。2.9%的ClawHub技能插件会在运行时从外部端点动态获取执行内容,攻击者可远程修改AI智能体执行逻辑。

  智能体行为不可控,管控难度大。

  OpenClaw智能体在执行指令过程中易发生权限失控现象,导致越权执行任务并无视用户指令,可能会出现删除用户数据、盗取用户信息、接管用户终端设备等情况,造成重大经济损失。

  OpenClaw风险防范建议

  及时升级版本。通过可信来源获取安装程序,关注官方安全公告,及时更新至最新版本,及时修复已披露安全漏洞。

  优化默认配置。仅在本地或内网地址运行,避免绑定公网地址或开放不必要端口,如使用反向代理,需配置身份认证、IP白名单和HTTPS加密。

  谨慎安装第三方插件。通过官方渠道获取第三方技能插件,避免安装来源不明的扩展程序。对已安装插件进行功能审查,发现可疑行为立即卸载。

  加强账户认证管理。启用身份认证机制,设置高强度密码并定期更换,避免使用弱口令。

  限制智能体执行权限。对AI智能体的操作能力进行必要限制,仅允许执行白名单中的系统命令和操作权限,防止AI智能体被恶意指令利用后对个人终端设备造成实质性破坏。

[ 责编:战钊 ]
阅读剩余全文(

相关阅读

您此时的心情

光明云投
新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 习近平在上海考察

  • 上海“日新日异”迈向“AI之城”

独家策划

推荐阅读
由此,教育链、人才链、创新链与产业链得以深度贯通,形成“以国家战略任务牵引创新、以创新实践锻造人才、以人才成长支撑国家战略”的良性循环,为高水平科技自立自强和中国式现代化提供持续支撑。由此,国家战略任务牵引下的人才培养,将推动人才在解决复杂问题过程中形成原创能力,在跨学科协同中拓宽战略视野,在长期攻关实践中涵养使命担当。
2026-07-16 09:54
“北科秀场”也在上演精心打造的10集暑期特辑《科学游戏大冒险》,观众化身“科学侦探”,跟随“科博士”和“科代表”开启跌宕起伏的科学冒险之旅。“北科”系列品牌活动还实现分层培养:3岁至8岁可以在“北科童行”游戏中启蒙,6岁至12岁可在“北科展教坊”探究实践,12岁至18岁可在“北科学堂”完成跨学科进阶。
2026-07-16 09:36
由此,教育链、人才链、创新链与产业链得以深度贯通,形成“以国家战略任务牵引创新、以创新实践锻造人才、以人才成长支撑国家战略”的良性循环,为高水平科技自立自强和中国式现代化提供持续支撑。由此,国家战略任务牵引下的人才培养,将推动人才在解决复杂问题过程中形成原创能力,在跨学科协同中拓宽战略视野,在长期攻关实践中涵养使命担当。
2026-07-16 09:35
当钢铁机械遇上童心想象,硬核工业叙事便打破了技术壁垒,在儿童文学中生长出温柔坚韧的力量。开篇岩岩玩积木时爸爸演示的“平行四连杆机构”,最终成为破解矿车转向系统故障的关键,让孩子的奇思妙想对接工业实践。
2026-07-16 09:35
风云卫星的“跨界”应用是中国气象科技对参与我国生态治理与应对全球气候变化挑战,做出的一道“必答题”。更重要的是,风云卫星积累的连续墒情数据,为农作物生长模型构建、气候变化对农业影响分析提供支撑。
2026-07-16 09:34
一个常见误解是,基础研究离市场较远,产业竞争越激烈,越应把资源集中到应用开发和成果转化上。量子信息产业离不开量子力学,人工智能离不开数学、统计学、计算机科学和认知科学,生物制造离不开分子生物学、基因组学和合成生物学,新能源和新材料离不开物理、化学和材料科学。
2026-07-16 09:33
延东煤层气田位于延长县和宜川县境内,是陕西省属企业探明的首个大型深层煤层气田,埋深超2000米,属典型的“自生自储”型深层煤层气藏。
2026-07-15 09:15
中国科学院院士、北京大学干细胞研究中心主任邓宏魁团队发布了其首创的“化学重编程干细胞”技术的自主实验室应用——智能细胞化学重编程和克隆筛选平台。
2026-07-15 09:15
登记面积达37.7万平方公里,绿水青山有了自己的“户口本”。在生态产品价值实现机制方面,探索建立资源权益指标市场化交易机制、生态保护红线内建设用地腾退指标交易激励机制,实现成本共担、生态效益共享。
2026-07-15 09:14
对于我们抢占科技和产业制高点、牢牢把握发展主动权具有重要意义。发展未来产业,前瞻布局管方向、管长远、管全局,梯度培育管路径、管方法、管落实。
2026-07-15 09:14
在美丽乡村建设过程中,推广绿色生产技术、防治农业面源污染等工作的开展,都离不开专业人才
2026-07-15 09:13
国家气候中心预测,今年主汛期我国气候状况总体偏差,极端天气气候事件偏多,东部地区涝重于旱,有南北两条多雨带,其中北方多雨带位于东北地区、内蒙古东北部、华北、华东北部等地。
2026-07-14 10:27
当前,我国传统产业正向着智能化、绿色化、融合化方向转型,这一过程迫切需要青年技能人才的加入。
2026-07-14 10:23
以生态环境高水平保护支撑经济社会高质量发展,须以绿色化引领数字化,以数字化赋能绿色化。
2026-07-14 10:20
据中国载人航天工程办公室消息,13日,将执行嫦娥七号任务的长征五号遥十四运载火箭安全运抵文昌航天发射场。后续,该火箭将与先期运抵的嫦娥七号探测器一起开展发射场区总装和测试工作。
2026-07-14 09:23
2025年,中国汽车取得了三个“全球第一”:汽车产销全球第一,新能源汽车产销全球第一,汽车出口全球第一——中国汽车,已然领跑全球。
2026-07-14 09:22
“数”“绿”深度融合,推动形成具有良好辐射效应的绿色数字产业集群,实现规模效率变革。“数”“绿”深度融合,提高各创新要素和资源的投入产出比,实现全要素生产率变革。
2026-07-14 09:22
正午时分,天山北坡日头正烈。新疆维吾尔自治区昌吉回族自治州奇台县老奇台镇二畦村,种植户张国安又下地了。
2026-07-13 10:02
“始终坚持生态优先、绿色发展”,是青海发展的根本遵循。
2026-07-13 10:02
时隔9年,中国超算重返世界第一!不久前举行的国际超算大会上,国家超级计算深圳中心发布新一代“灵晟”超算系统,实测持续性能达到2.19EFLOPS(百亿亿次/秒),成为世界首台持续性能超2EFLOPS的超算系统。
2026-07-13 10:01
加载更多