作者: 央视新闻|
发布时间:2026-03-08 14:24:17
【深度预警】工信部点名AI智能体OpenClaw:警惕“自主决策”背后的网络安全黑洞
【摘要】
工信部网络安全威胁和漏洞信息共享平台近日发布紧急预警,开源AI智能体OpenClaw(俗称“龙虾”)因配置不当存在重大安全漏洞。该类AI助手因具备自主决策与系统调用能力,在缺乏严控的情况下极易成为黑客攻击的“内鬼”,引发信息泄露及系统受控风险。
【正文】
1. 风险主体分析:OpenClaw的“双刃剑”特性
OpenClaw(曾用名 Clawdbot、Moltbot)是一款高度集成的开源AI智能体(AI Agent)。
- 核心功能:整合多渠道通信与大语言模型(LLM),具备持久记忆与主动执行能力。
- 部署方式:支持本地私有化部署,被广泛用于构建定制化AI助手。
- 技术隐患:由于其设计初衷是“自主运行”和“调用外部资源”,导致其信任边界模糊。一旦权限控制失效,AI智能体可能从“得力助手”异变为“攻击跳板”。
2. 核心漏洞与攻击路径 
监测显示,OpenClaw在默认或不当配置下,存在以下高危风险点:
- 指令诱导(Prompt Injection):恶意指令可能误导AI绕过安全限制,执行越权操作。
- 配置缺陷:部分实例直接暴露于公网,且缺乏强身份认证机制。
- 恶意接管:黑客可通过漏洞接管智能体,利用其已获取的系统权限进行深度渗透,导致核心数据库泄露。
3. 监管动态与行业影响 
进入2026年,随着AI智能体在企业级市场的全面铺开,AI原生安全已成为工业和信息化部监管的重中之重。此次通报释放了明确信号:AI应用的合规性与安全性将直接挂钩企业的运营资质。
【结论】
管理与部署建议:
- 立即自查:相关单位需核查OpenClaw实例的公网暴露情况,严禁在无防护状态下接入互联网。
- 强化机制:必须建立完善的身份认证、访问控制及安全审计体系,为AI智能体套上“缰绳”。
- 持续加固:关闭不必要的接口,加密存储敏感凭证,并紧跟官方补丁更新。
研报观点:AI智能体(Agent)的爆发式增长正催生巨大的网络安全防护需求。在2026年的数字化进程中,具备AI安全加固与自动化审计能力的网安厂商有望迎来新一轮业务增长期。资产端应高度关注AI安全领域的“护城河”建设,防范技术演进带来的系统性风险。
延伸阅读
原文链接