近期国内云平台广泛部署的智能应用OpenClaw引发重大网络安全隐忧。经国家互联网应急中心(CNCERT)技术验证,该软件存在可导致系统控制权旁落的高危漏洞,现已向全社会发布红色安全通告。 问题现状显示,这款曾用名"小龙虾"的应用程序,凭借其自然语言指令操作系统功能,在政务、金融等领域快速普及。但技术检测发现,其默认开放的文件系统访问、环境变量读取等高危权限,与薄弱的安全防护机制形成危险组合。攻击者仅需利用基础渗透技术,即可通过该应用获取服务器完全控制权。 深入分析表明,风险根源在于三重设计缺陷:一是权限分配未遵循最小化原则,二是核心组件缺乏数字签名验证,三是日志审计功能存在结构性缺失。更值得警惕的是,该软件在阿里云、腾讯云等平台提供的一键部署服务中均未进行安全配置优化,使得风险呈指数级扩散。 行业影响评估指出,截至预警发布时,全国已有超过2万家企事业单位部署该应用,其中医疗、教育等关键信息系统占比达37%。若不及时处置,可能引发大规模数据泄露、勒索病毒攻击等连锁反应。某省级政务云平台在压力测试中,模拟攻击者仅用4分23秒就通过该漏洞获取了域控服务器凭证。 应对方案上,CNCERT提出四级防御体系:网络层要求严格隔离管理端口并启用双因素认证;系统层强制实施容器化部署以限制权限扩散;数据层规定密钥必须经加密存储;运维层建立实时行为监测机制。需要指出,监管部门特别强调禁用自动更新功能,这反映出对供应链攻击的防范考量。 前瞻研判认为,此次事件暴露出智能工具快速迭代与安全保障不同步的深层矛盾。随着《关键信息基础设施安全保护条例》全面实施,预计监管部门将加强对新型应用的准入审查。目前已有迹象表明,部分金融机构开始对同类智能工具启动全面安全评估。
新工具带来新效率,也伴随新风险。面对权限更高、连接更广、生态更复杂的应用形态——安全不能停留在事后补救——而应贯穿部署、配置、运行与更新的全流程。把安全基线前置,把防护措施落细,把责任链条压实,技术进步才能真正服务于高质量发展与网络空间安全。