3月10日,国家互联网应急中心给大家提了个醒,说OpenClaw有不少高中危漏洞。这个软件以前叫Clawdbot或者Moltbot,现在特别火,国内的主流云平台都给它提供了一键部署服务。它能把自然语言指令变成实际操作,为了能自己干事儿,得给它很大的系统权限,比如读写文件、看环境变量、调用外部API还有装插件。不过因为默认设置太脆弱,一旦被坏人找到漏洞,就很容易拿到系统的完全控制权。以前因为用得不当,出过不少大事儿:一种是提示词注入,坏人在网页里藏恶意指令,OpenClaw一打开就可能被拐走用户的系统密钥;另一种是误操作,搞不好就把邮件、重要数据全给删了;还有就是功能插件投毒,有些插件是坏的,装了之后能偷密钥或者放木马,把电脑变成“肉鸡”;最后就是漏洞本身的风险,要是被利用了,个人数据、支付账户和API密钥都不保,金融、能源这种关键行业更是得遭殃。所以大家在用OpenClaw的时候要小心点:网络得封住,别把默认端口暴露在公网上,用身份认证和访问控制来管一下;密码别乱存环境变量里,最好有个日志审计;插件来源要严格把关,别自动更新;补丁也得盯着点,发现了就赶紧装。