关键词

隐私泄露

OpenClaw因图标是一只红色龙虾,被网友形象称为"龙虾"。然而,在热度飙升的同时,"养龙虾"背后的隐私安全问题也逐渐浮出水面。

事件回顾

据央视财经报道,一位用户分享了自己使用OpenClaw过程中的隐私泄露经历:

在加入一个OpenClaw聚会群后,有一个人问他运行在什么电脑、什么环境、什么根目录、模型是什么,而OpenClaw竟直接"代答",甚至连IP地址也一并暴露。

OpenClaw凭借强大的自动化任务处理能力以及开放式插件生态,在全球范围内迅速走红。但随之而来的,是严峻的隐私安全挑战。

技术分析:AI是如何被"PUA"的?

1. 指令注入(Prompt Injection)

行业专家指出,AI很容易受误导。黑客不需要编写复杂的病毒代码,就可以通过发送一些诱导性的言语,或在AI访问的页面里嵌入一些文字,从而"催眠控制"OpenClaw,让它:

  • 主动泄露主人的信息

  • 攻击自己的电脑

  • 暴露敏感配置信息(IP地址、系统环境、模型参数等)

这,就是安全界常说的指令注入攻击——相当于AI时代的"SQL注入"。

2. 插件生态暗藏隐患

OpenClaw强大能力高度依赖各类插件,但这也成為攻击者的重要突破口。

近期,OpenClaw官网用于插件下载的官方论坛里被检测出336个恶意插件,占比10.8%。

如果不小心安装了这些插件,那么用户以为装的帮手,实际上是偷取信息的"小偷"。

安全建议

建议

✅ 选择官方认证插件

优先选择下载量大、有安全证书的插件

✅ 限制敏感权限

不要给OpenClaw过高系统权限

✅ 隔离运行环境

建议在虚拟机或容器中运行

✅ 关注官方安全公告

及时更新版本和补丁

总结

AI Agent的安全问题,本质上是人机信任边界的问题。当AI可以帮助你操作电脑、读取文件、发送消息时,它也可能在不知不觉中被"诱导"成为攻击者的工具。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!