国家互联网应急中心近日发布安全警示,一款名为OpenClaw的AI智能体应用因存在重大安全缺陷引发关注。该软件此前凭借自然语言操控计算机的功能获得国内主流云平台部署支持,但其运行所需的本地文件系统访问权限、外部API调用权限等高权限设置,叠加默认安全配置不足的问题,已被证实存在多类高危风险。
经技术团队验证,攻击者可利用四种主要途径实施攻击。在输入交互环节,恶意构造的提示词可绕过系统过滤机制,直接获取用户系统密钥等敏感信息;在数据处理层面,软件对自然语言指令的解析存在缺陷,曾出现误删重要邮件及生产数据库的严重事故;在扩展生态方面,第三方恶意插件可通过伪装成正常功能模块,实施凭证窃取或木马植入等攻击;更令人担忧的是,该应用已披露的多个高中危漏洞,可能直接导致用户支付账户被盗、隐私文件泄露,甚至引发金融、能源等关键行业基础设施瘫痪。
目前,安全团队已监测到多个针对该应用的攻击样本。某能源企业曾因部署未加固版本,导致内部代码仓库被非法访问;部分个人用户反映支付账户出现异常登录记录。专家特别提醒,用户应立即检查运行环境配置,及时安装官方发布的安全补丁,并定期核查系统权限分配情况,避免因权限过度开放导致攻击面扩大。
随着AI应用场景不断拓展,此类高权限工具的安全问题日益凸显。此次事件再次警示,在享受技术便利的同时,必须建立与之匹配的安全防护体系。技术提供方需完善默认安全配置,云平台应加强部署前的安全审查,终端用户则要提升安全意识,形成多方协同的防御机制。
