最近,一款叫“小龙虾”的智能体应用特别火,它的原名是Clawdbot还有Moltbot,国内的主流云平台都提供一键部署服务。这款软件能听懂人话,直接操作电脑完成任务。为了让它能自己干活,系统给了它很大权限,比如访问文件、读取环境变量、调用外部服务API,甚至安装扩展功能。但是,这个软件的默认安全设置太弱了,黑客一找到破绽就能把系统全盘接管。早期因为安装和使用不当,已经出现了不少严重的安全问题。比如,“提示词注入”风险。黑客在网页里藏恶意指令,引诱OpenClaw去读这个网页,就有可能让用户泄露密钥。再比如,“误操作”风险。有时候OpenClaw听不懂用户的意思,可能会把重要信息删掉。还有功能插件投毒风险。很多适合它用的插件被发现有恶意或隐患,安装了就能偷密钥、放后门软件。 截止现在,“小龙虾”还爆出过很多高中危漏洞。如果这些漏洞被黑客利用,系统可能会被控制,隐私信息和敏感数据也可能泄露。个人用户可能会丢照片、文档、聊天记录这些隐私数据或者支付账户和API密钥。对于金融、能源这些关键行业来说,可能会泄露核心业务数据、商业机密甚至代码仓库,让整个业务系统瘫痪。 针对这种情况,相关单位和个人在部署这个应用的时候要注意几件事:第一要加强网络控制,别把它默认的管理端口直接放在公网上暴露给别人。用身份认证和访问控制把访问服务管起来。还要把运行环境严格隔离一下,用容器技术把它权限过高的问题解决掉。第二要加强凭证管理别在环境变量里明晃晃地存密钥。建立一个完整的操作日志审计机制把谁干了什么都记下来。第四要持续关注补丁和更新,及时升级版本装上安全补丁。