▲OpenClaw近期下載量大增,陸國家互聯網應急中心發布安全風險警告。(示意圖/CFP)
記者柯振中/綜合報導
中國大陸國家互聯網應急中心近日發布資安警示指出,人工智慧代理軟體「OpenClaw」(小龍蝦,曾用名 Clawdbot、Moltbot)近期在網路上迅速走紅,不僅下載量大增,許多主流雲端平台也提供一鍵部署服務。不過,大陸國家互聯網應急中心提醒,該系統預設安全設定較為薄弱,若使用或部署不當,可能讓駭客取得系統控制權,導致資料外洩或設備遭入侵。
高權限引疑慮
大陸國家互聯網應急中心表示,OpenClaw是一款可透過自然語言指令直接操作電腦的智慧代理程式,為了完成自動化任務,系統通常會被授予較高權限,包括存取本機檔案系統、讀取環境變數、呼叫外部應用程式介面(API),以及安裝各類擴充功能。
大陸國家互聯網應急中心指出,由於預設安全機制較為鬆散,一旦遭到攻擊者利用漏洞,可能讓整個系統被完全控制,進而對裝置或資料造成安全風險。
多種攻擊風險
大陸國家互聯網應急中心說,目前已觀察到多項潛在威脅。其中包括「提示詞注入」攻擊,駭客可在網頁中埋入隱藏指令,誘導系統讀取內容後洩露使用者的系統密鑰等敏感資訊。
▲OpenClaw近期下載量大增,陸國家互聯網應急中心發布安全風險警告。(示意圖/CFP)
此外也存在誤操作風險,若系統誤判使用者指令,可能導致電子郵件或重要資料被刪除。部分擴充功能也被確認為惡意程式,安裝後可能竊取金鑰或植入後門,使設備淪為殭屍網路節點。
官方提出建議
截至目前,OpenClaw已被揭露多項中高風險漏洞。大陸國家互聯網應急中心提到,若漏洞遭惡意利用,可能造成系統被遠端操控、隱私資訊與敏感資料外洩。對個人使用者而言,照片、文件、聊天紀錄或支付帳戶資訊都可能遭竊;對金融、能源等關鍵產業,甚至可能導致核心資料外流或系統停擺。
大陸國家互聯網應急中心建議,使用者在部署OpenClaw時應強化網路管控,例如避免將管理端口直接暴露在公網,並透過身分驗證與存取控制進行安全管理,同時妥善保護密鑰資料並建立操作紀錄機制。
另外也建議嚴格管控插件來源,僅從可信管道安裝經簽章驗證的擴充程式,並持續關注官方釋出的安全更新與漏洞修補,及時進行系統升級。
讀者迴響