本报讯（记者鹿杨）昨晚，国家互联网应急中心发布《关于Open-Claw安全应用的风险提示》。根据《提示》，OpenClaw默认的安全配置极为脆弱，攻击者一旦发现突破口，便能轻易获取系统的完全控制权。
　　近期，OpenClaw（又称“小龙虾”，曾用名Clawdbot、Moltbot）应用下载与使用情况火爆，国内主流云平台均提供了一键部署服务。
　　截至目前，OpenClaw已经公开曝出多个高中危漏洞，一旦这些漏洞被网络攻击者恶意利用，则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户，可导致隐私数据（照片、文档、聊天记录）、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业，可导致核心业务数据、商业机密和代码仓库泄露，甚至会使整个业务系统陷入瘫痪，造成难以估量的损失。
　　■链接
　　使用“龙虾”智能体需要注意哪些
　　中国信息通信研究院副院长魏亮认为，必须坚持“最小权限、主动防御、持续审计”的原则。
　　■使用官方最新版本。在升级前备份数据，升级后重启服务并验证补丁是否生效。
　　■严格控制互联网暴露面。不要将“龙虾”智能体实例暴露到公网，确需互联网访问的，限制访问源地址，使用强密码或证书、硬件密钥等认证方式。
　　■坚持最小权限原则。在部署时，严禁使用管理员权限的账号，只授予完成任务必需的最小权限，建议在容器或虚拟机中隔离运行，以形成独立的权限区域。
　　■谨慎使用技能市场。ClawHub是专为“龙虾”智能体用户提供技能包的社区平台，其中的技能包存在恶意投毒风险，建议审慎下载。
　　■防范社会工程学攻击和浏览器劫持。不要随意浏览来历不明的网站，避免点击陌生的网页链接。遇到可疑行为立即断开网关并重置密码。
　　■建立长效防护机制。启用详细日志审计功能，定期检查并修补漏洞。据新华社