核心摘要
近期,AI智能体OpenClaw(俗称“龙虾”)凭借无需用户指令即可自主完成收件箱清理、预订服务等功能爆火,但安全问题也随之凸显。2026年3月8日,央视新闻援引工信部网络安全威胁和漏洞信息共享平台监测结果,提醒公众OpenClaw在默认或不当配置下存在较高安全风险,易引发网络攻击、信息泄露等问题,此前该智能体已被用于散播恶意软件。
详细正文
近年来,AI智能体的快速发展为人们的生活和工作带来了诸多便利,而OpenClaw(俗称“龙虾”)作为一款开源AI智能体,凭借无需用户指令即可自主清理收件箱、预订服务、管理日历等“主动自动化”能力,迅速在科技圈爆火,吸引了大批用户尝试使用。但在热度背后,该智能体的安全问题也逐渐暴露,引发了官方和公众的高度关注。
2026年3月8日,央视新闻援引工业和信息化部网络安全威胁和漏洞信息共享平台的监测结果,正式对OpenClaw的安全风险发出提醒。监测结果显示,OpenClaw部分实例在默认或不当配置的情况下,存在较高的安全风险,极易引发网络攻击、信息泄露等安全事故,对用户的信息安全和系统安全构成威胁。
据悉,OpenClaw存在“信任边界模糊”的技术特点,同时具备自身持续运行、自主决策、调用系统和外部资源的能力。这种特性虽然让其能够自主完成各类任务,但也带来了安全隐患——如果用户在部署OpenClaw时,缺乏有效权限控制、审计机制和安全加固,该智能体很可能会因指令诱导、配置缺陷或被恶意接管,出现越权操作,进而导致用户信息泄露、设备系统受控等严重后果。
事实上,这并非OpenClaw首次曝出安全问题。今年2月,密码管理工具1Password的安全团队就发现,有攻击者利用OpenClaw的“技能”文件,向macOS用户散播恶意软件。黑客将恶意程序伪装成合法的集成教程,借助Markdown格式的“技能”文件诱导用户安装,进而实现病毒植入,窃取用户的个人信息和敏感数据,给用户带来了巨大的安全风险。
针对OpenClaw存在的安全风险,工信部相关部门及时给出了应对建议。相关部门表示,相关单位和个人在部署和应用OpenClaw时,需充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,从源头减少安全隐患;同时要完善身份认证、访问控制、数据加密和安全审计等安全机制,加强对OpenClaw运行过程的管控;此外,还需持续关注官方发布的安全公告和加固建议,及时对智能体进行更新和优化,防范潜在的网络安全风险。
编辑点评
OpenClaw的爆火,反映了市场对“主动自动化”AI智能体的需求,但安全问题的暴露也警示我们,AI技术的发展不能只追求功能的便捷性,更要重视安全性。OpenClaw“信任边界模糊”的特性,使其在不当配置或被恶意利用时,极易引发安全事故,而此前被用于散播恶意软件的案例,更是凸显了其安全隐患的严重性。央视和工信部的提醒十分及时,为用户和相关单位敲响了警钟。对于普通用户而言,在体验OpenClaw便捷功能的同时,必须提高安全意识,严格评估授权风险,规范部署和配置;对于相关企业和开发者而言,需加强对OpenClaw的安全优化,完善安全机制,填补安全漏洞,才能让AI智能体真正服务于用户,实现可持续发展。
总结
爆火的开源AI智能体OpenClaw(龙虾)因具备自主自动化能力吸引大量用户,但安全风险突出。2026年3月8日,央视援引工信部监测结果提醒,其在默认或不当配置下易引发网络攻击、信息泄露等问题。该智能体存在“信任边界模糊”特性,缺乏有效管控时可能被恶意利用,今年2月已出现黑客利用其“技能”文件散播恶意软件的案例。工信部建议,部署应用时需核查公网暴露情况、完善安全机制、关注官方安全公告,用户和相关单位需提高安全意识,规范配置,防范安全风险。
