人工智能项目OpenClaw(前称ClawdBot,Moltbot),旨在简化用户生活,但最近陷入了一个持续存在的“打地鼠”安全困境。据《注册报》报道,该生态系统中的多个项目正面临严重挑战,包括机器人控制和远程代码执行(RCE)漏洞的接管。
最近,安全研究公司DepthFirst的创始人Mav Levin披露了一条极其危险的“一键RCE”漏洞链。攻击者可以利用OpenClaw服务器上未经验证的WebSocket源代码漏洞,诱骗受害者访问恶意网页,并在毫秒内完成攻击。该漏洞使攻击者能够绕过沙盒和用户确认提示,直接在受害者系统上执行任意代码。尽管OpenClaw团队迅速修复了该漏洞,但生态系统的整体安全性仍然值得怀疑。
就在一个问题似乎解决时,另一个问题又浮现出来。与OpenClaw密切相关的AI代理社交网络Moltbook也遭遇了严重的数据库暴露问题。安全研究员Jamieson O’Reilly发现,由于配置错误,平台数据库完全公开访问,导致大量机密API密钥泄露。
这意味着攻击者可以冒充平台上注册的任何人工智能代理(例如人工智能专家安德烈·卡帕西的个人人工智能代理),发布虚假信息、诈骗或激进内容。虽然 Moltbook 不是 OpenClaw 的官方项目,但许多 OpenClaw 用户已将代理连接起来,具备读取短信和管理收件箱的能力,使潜在的安全风险显而易见。
若您对人工智能感兴趣,可添加数字化转型网小助手思思微信加入人工智能交流群。若您在寻找人工智能供应商,可联系数字化转型网小助手思思(17757154048,微信同号)
若您为人工智能服务商,可添加数字化转型网小助手Nora,加入人工智能行业交流群。
若您为人工智能创业者,可添加数字化转型网社群主理人Carina,加入人工智能创业交流群。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
本文由数智化转型网(www.szhzxw.cn)转载而成,来源于网络;编辑/翻译:数智化转型网(Professionalism Achieves Leadership 专业造就领导者)默然
