"龙虾"再曝安全漏洞 专家支招如何做好安全防护
-
发布时间:2026-06-11 18:44:53
目前最火的龙虾漏洞开源AI智能体——OpenClaw,因其图标是再曝专家支招红色的龙虾,使用OpenClaw也被称为“养龙虾”。安全景德镇足球 新闻网自发布以来,何做好安护OpenClaw凭借其强大的全防自动化任务处理能力与开放式插件生态,在全球范围内引发部署热潮,龙虾漏洞与此同时,再曝专家支招“养龙虾”暗藏的安全隐私泄露风险也引发广泛关注。近期,何做好安护OpenClaw官网用于插件下载的全防官方论坛里被检测出336个恶意插件,占比10.8%。龙虾漏洞
工信部3月31日发布风险提示,再曝专家支招监测发现攻击组织利用OpenClaw热度,安全景德镇足球 新闻网仿冒其下载网站和安装文件,何做好安护诱导用户下载含恶意程序的全防安装包。
国家知识产权局4月1日提示: OpenClaw等智能体存在权限过高、安全漏洞、插件投毒等隐患,使用其撰写申请文件,易造成技术交底书等核心信息外泄。
公安部网安局4月1日提示:OpenClaw技术本身存在原生漏洞,缺乏完善的防御机制,极易被“恶意插件”或“隐藏指令”劫持,成为不法分子的攻击工具。
“龙虾”不设防
有问必答泄露隐私
随着有关部门多次发布风险提示,近期龙虾的安全隐患再次在网络引发热议。那么,这类开放AI智能体的原理是什么?为何"养龙虾"暗藏着巨大风险?都有哪类风险?如何防范?
网络专家:指令注入
操控“龙虾”泄露信息
行业专家与网络安全工程师通过实测,还原了AI被恶意诱导泄露核心配置、API密钥等敏感信息的全过程。
中国互联网协会数据安全与治理工作委员会专家 常力元:AI很容易受误导,黑客不需要编写复杂的病毒代码,就可以通过发送一些诱导性的言语,或者在AI访问的页面里面嵌入一些文字,从而催眠、控制“龙虾”,让“龙虾”主动去泄露自己的主人的信息,或者攻击自己的电脑,这个我们也称之为指令注入。
网络安全工程师 危嘉祺:我给它下达一个指令,让它把OpenClaw的配置信息给发过来。它没有任何防备的,就把它所有的信息给发出来了,包括说配置的模型,甚至一些端口信息以及配置的插件信息。这些信息都完全给吐出来了。同时再通过多轮诱导的方式,也能够把它的一些密钥信息给诱导出来。
恶意插件风险凸显
约一成藏信息窃取隐患
除了指令风险,专家解释,龙虾的本领还离不开插件,最新数据显示,龙虾的插件有约10%被检测为恶意插件,如果龙虾不小心安装了这些插件,那么网友安装的不是帮手,而是偷取信息的小偷。
中国计算机学会计算机安全专委会委员 王媛媛:插件实际上是“龙虾”的一个独立功能模块,就很像我们手机上的小程序,当我们要执行一些比较复杂的指令操作的时候,我们可以通过安装插件的方式让“龙虾”来正常运行,比如说我们想让“龙虾”写一个PPT,这个时候我们需要给“龙虾”装一个可以生成PPT的插件。恶意插件,实际上就是在一些看起来很正常的代码里植入了一些恶意代码,最终目的是窃取你的数据,或者是控制你的电脑。
中国计算机学会计算机安全专委会委员 王媛媛:这是一个装了恶意插件的“龙虾”。我们用它进行天气预报的查询时,它的后台就在偷偷查我电脑上存在的一些敏感数据,并且把这些敏感的数据都发送到作者远端的服务器上。
专家建议,安装“龙虾”插件时,还是要选择下载量大,有安全证书的插件。
中国计算机学会计算机安全专委会委员 王媛媛:我们不建议用户去安装新出的,没有经过安全检测的,而且安装量非常少的插件。
专家支招正确“养龙虾”
如何做好安全防护
随着OpenClaw这类AI智能体越来越普及,如何安全、规范地使用,成为个人和企业都要面对的问题。专家建议,个人或企业用户不要在涉密设备上运行“OpenClaw ”,还要做好安全防护等严格管控措施。
中国计算机学会计算机安全专委会委员 王媛媛:第一个是我们个人在使用龙虾的时候,要尽量保证安装的龙虾的版本及时更新,因为有很多漏洞存在的时候,它会有很多安全隐患,所以我们要尽可能地保持使用最新的安装版本。
第二个对一些企业来说,在使用龙虾的时候要使用一些安全防护手段来进行控制,比如说阻止一些邮件的发送,然后阻止一些外网的访问这样的操作。
专家表示,随着AI智能体使用门槛不断降低,普通网民在使用OpenClaw时,应更加关注它的安全性。专家进一步强调,不能忽视权限管控的重要性,不能赋予AI工具过度的系统权限。
中国互联网协会数据安全与治理工作委员会专家 常力元:
首先要对它的权限做好管控,不应该给它过大权限,给它设定好能做的事情的边界。 第二是我们要给它安装一道防火墙,对于它听到的、说出的以及即将做的每件事情,都做好合规的确认,确保它的执行是无害的。 第三是我们还是要掌控最终的决策权,涉及一些重要的决策时,人还是应该做最终的决策。
【下载地址】本站专属下载器:点击下方链接 即可享受高速下载和在线播放 专治迅雷无法下载