3月10日,国家互联网应急中心给大家发了个提醒,北京商报记者魏蔚也在报道里说了这事。现在OpenClaw(“小龙虾”,以前叫Clawdbot和Moltbot)火得不行,国内主流云平台都提供了一键部署的服务。大家就把这个软件装在计算机上,它能听懂人话直接操作电脑。为了让它能自己干活,就得给它很高的权限,比如看本地文件、读环境变量、用API接口,还有装插件这些事儿。 可是问题来了,它默认的安全设置太弱了。如果有黑客找到漏洞,分分钟就能把系统的控制权抢过去。国家互联网应急中心给大伙儿支了几招:一是要管住网络,别把管理端口直接暴露在公网上,得加个身份验证或者访问限制来管访问的人。还有就是用容器技术把环境隔离开,别让权限太高;二是看好密钥别乱存,别直接写在环境变量里;最后还得好好记日志、多盯着补丁更新。