工业和信息化部发布防范OpenClaw开源AI智能体安全风险预警 | 加密百科深度分析
加密百科独家解读
这事简单说,就是一个叫“OpenClaw”(外号“龙虾”)的免费AI工具包,被工信部发现有个大毛病:如果用户装好之后没调好安全设置,或者干脆用了默认的弱密码,它就会像你家大门没关一样,直接暴露在公网上。
对咱们普通用户和项目方来说,主要风险就两点:
第一是资产风险。很多DeFi项目和链上工具现在会用这类AI智能体来管理钱包、执行交易或者分析链上数据。如果这个“龙虾”的权限没管好,黑客就能通过它偷走管理的私钥和助记词,直接把关联钱包里的资产转空。
第二是信息风险。这个AI能接触到大量用户数据和链上交易记录,一旦被入侵,你的交易习惯、持仓地址、甚至还没上链的私人信息都可能泄露,成为精准钓鱼或欺诈的目标。
为什么现在才特别警告?因为技术背景变了。以太坊坎昆升级完成后,Layer2生态爆发,大量新项目为了追求智能化和自动化,都在快速集成这类开源AI智能体。比特币第四次减半后,整个行业的关注点和资金流动也更复杂。这意味着“龙虾”这类工具被用得越来越广,出问题的破坏力也就指数级上涨。
给你的直接建议是:
如果你是个玩家:检查你用的任何链上工具、机器人或者项目,背后是否集成了类似的开源AI。如果用了,立刻去查它的官方文档,确认你的访问权限是不是最小化的,API密钥有没有泄露。
如果你在项目方工作:马上按照工信部说的那几步做:1)检查服务器,别让AI管理后台直接能被公网访问;2)强制改掉所有默认密码,加上强身份验证;3)把AI能操作的钱包和数据库权限收紧,只给最低必要权限;4)关键操作一定要留日志,方便出事以后追查。
这不是要你完全别用AI工具,而是提醒你,“免费”和“开源”不等于“安全”。越强大的自动化工具,一旦配置出错,造成的漏洞也就越大。在现在的环境下,安全设置已经和私钥保管一样重要,成了每个人必备的基础技能。
背景资料 (原快讯)
工业和信息化部网络安全威胁和漏洞信息共享平台近期监测发现 OpenClaw(俗称“龙虾”)开源 AI 智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。建议相关单位和用户在部署和应用 OpenClaw 时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制,并持续关注官方安全公告和加固建议,防范潜在网络安全风险。(澎湃新闻)
注:以上背景资料自公开行业资讯,加密百科网仅作科普解读。