 |
来源:财联社财联社3月11日电,工业和信息化部网络安全威胁和漏洞信息共享平台发布关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议。针对“龙虾”典型应用场景下的安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议。(一)使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。(三)坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,…
近期,开源AI智能体“龙虾”异常火爆,不仅受到国内产业界和广大用户的广泛关注,大家更是积极开展实践应用。与此同时,互联网上针对“龙虾”智能体安全的探讨也非常多,之前工业和信息化部网络安全威胁和漏洞信息共享平台也发布过相关的安全风险提示,大家也非常关注。“养龙虾”是否安全?个人用户“养龙虾”又该注意什么?记者采访了中国信息通信研究院副院长魏亮。记者:广大用户非常关注工信部之前发布的“龙虾”安全风险提示,那么,在“龙虾”更新到最新版本后,是否就没有安全风险了?魏亮:“龙虾”是开源AI智能体OpenClaw的别称,因为它的图标是红色的龙虾,所以得名。它通过整合调用通信软件和大语言模型,在用户本地电脑自主执行文件管理、邮件收发、数据处理等复杂任务。“龙虾”出现以后,受到我国产业界和广大用户的广泛关注,大家积极开展实践应用,推动了我国AI智能体生态的繁荣,但也要注意到,“龙虾…
新京报讯 3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示。近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险:1。“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。2。 “误操作”风险。由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件…
新京报讯 3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示。近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险:1。“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。2。 “误操作”风险。由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件…
近期,开源AI智能体“龙虾”异常火爆,不仅受到国内产业界和广大用户的广泛关注,大家更是积极开展实践应用。与此同时,互联网上针对“龙虾”智能体安全的探讨也非常多,之前工业和信息化部网络安全威胁和漏洞信息共享平台也发布过相关的安全风险提示,大家也非常关注。“养龙虾”是否安全?个人用户“养龙虾”又该注意什么?记者采访了中国信息通信研究院副院长魏亮。记者:广大用户非常关注工信部之前发布的“龙虾”安全风险提示,那么,在“龙虾”更新到最新版本后,是否就没有安全风险了?魏亮:“龙虾”是开源AI智能体OpenClaw的别称,因为它的图标是红色的龙虾,所以得名。它通过整合调用通信软件和大语言模型,在用户本地电脑自主执行文件管理、邮件收发、数据处理等复杂任务。“龙虾”出现以后,受到我国产业界和广大用户的广泛关注,大家积极开展实践应用,推动了我国AI智能体生态的繁荣,但也要注意到,“龙虾…
近期,工业和信息化部网络安全威胁和漏洞信息共享平台监测发现OpenClaw(俗称“龙虾”)开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。OpenClaw(曾用名 Clawdbot、Moltbot)是一款开源AI智能体,其通过整合多渠道通信能力与大语言模型,构建具备持久记忆、主动执行能力的定制化AI助手,可在本地私有化部署。由于OpenClaw在部署时“信任边界模糊”,且具备自身持续运行、自主决策、调用系统和外部资源等特性,在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作,造成信息泄露、系统受控等一系列安全风险。建议相关单位和用户在部署和应用OpenClaw时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制,并持续关注官方安全公告和…
极目新闻记者 余渊1月6日,“婚礼电子请柬访客记录”的话题冲上热搜。有网友发文称,原来电子婚礼请柬是可以看到访客记录的,看了几次,什么时间看的,甚至谁转发了,都有记录。对此,不少网友留言表示:“天塌了”“快告诉我这不是真的”“对,我也是点完大学同学的电子请柬才发现的,我不想去参加,然而没想到他们能看见浏览记录,简直崩溃”。极目新闻记者注意到,在一片社死的“哀嚎”声中,也有网友怀疑这个说法是假的。有的网友还晒出了自己的电子请柬后台记录,截图显示,请柬总访客数为147,有一人共看了24次电子请柬。1月6日,极目新闻记者以消费者身份致电婚礼纪平台,客服工作人员表示,目前普通用户只能查看电子婚礼请柬的一名最新访客,会员用户则可以看到最近三个月的访客记录,“目前会员价格是每年19.9元”。极目新闻记者查询婚礼纪APP发现,普通用户没有查看访客和转发记录的权限,开通Plus用户后,确…
极目新闻记者 余渊1月6日,“婚礼电子请柬访客记录”的话题冲上热搜。有网友发文称,原来电子婚礼请柬是可以看到访客记录的,看了几次,什么时间看的,甚至谁转发了,都有记录。对此,不少网友留言表示:“天塌了”“快告诉我这不是真的”“对,我也是点完大学同学的电子请柬才发现的,我不想去参加,然而没想到他们能看见浏览记录,简直崩溃”。极目新闻记者注意到,在一片社死的“哀嚎”声中,也有网友怀疑这个说法是假的。有的网友还晒出了自己的电子请柬后台记录,截图显示,请柬总访客数为147,有一人共看了24次电子请柬。1月6日,极目新闻记者以消费者身份致电婚礼纪平台,客服工作人员表示,目前普通用户只能查看电子婚礼请柬的一名最新访客,会员用户则可以看到最近三个月的访客记录,“目前会员价格是每年19.9元”。极目新闻记者查询婚礼纪APP发现,普通用户没有查看访客和转发记录的权限,开通Plus用户后,确…
极目新闻记者 余渊1月6日,“婚礼电子请柬访客记录”的话题冲上热搜。有网友发文称,原来电子婚礼请柬是可以看到访客记录的,看了几次,什么时间看的,甚至谁转发了,都有记录。对此,不少网友留言表示:“天塌了”“快告诉我这不是真的”“对,我也是点完大学同学的电子请柬才发现的,我不想去参加,然而没想到他们能看见浏览记录,简直崩溃”。极目新闻记者注意到,在一片社死的“哀嚎”声中,也有网友怀疑这个说法是假的。有的网友还晒出了自己的电子请柬后台记录,截图显示,请柬总访客数为147,有一人共看了24次电子请柬。1月6日,极目新闻记者以消费者身份致电婚礼纪平台,客服工作人员表示,目前普通用户只能查看电子婚礼请柬的一名最新访客,会员用户则可以看到最近三个月的访客记录,“目前会员价格是每年19.9元”。极目新闻记者查询婚礼纪APP发现,普通用户没有查看访客和转发记录的权限,开通Plus用户后,确…
2025年9月1日10时左右,成都市成华区万年场街道槐树店路16号臻礼著项目发生一起较大起重伤害事故,造成5人死亡,直接经济损失1363.16万元。事故发生后,省委、省政府高度重视,派出工作组现场指导事故救援工作,并由省政府牵头成立事故调查组,对事故实行提级调查。有关纪检监察机关按照干部管理权限,依规依纪依法对12名公职人员进行了严肃追责问责,公安机关对涉嫌违法犯罪的4名涉案人员进行立案侦查。中铁二十二局三公司臻礼著项目部副经理兼安全负责人蒲亮,精正公司臻礼著项目安全专业监理工程师先科,塔机拆卸作业单位鑫鸿达公司法定代表人、总经理何彦,塔机安拆工成朝兴4人涉嫌重大责任事故罪,被公安机关立案侦查并采取刑事强制措施。对事故中存在失职失责问题的成华区委、区政府,成华区住房建设和交通运输局,成华区建设项目事务中心,成华区万年场街道党工委、办事处,成都市住房和城乡建设局,成都市建设工…
