近日，AI（人工智能）工具OpenClaw（俗称“龙虾”，曾用名Clawdbot、Moltbot）因功能强大迅速走红，但安全隐患也随之浮现。3月12日，蚂蚁数科在官方渠道发布安全提示，梳理了该工具面临的典型风险与防护要点，帮助用户安全使用。

　　据安全机构STRIKE（“打击”）披露，目前已有超过4万个OpenClaw实例暴露在公网，其中63%存在可被利用的安全漏洞，超过1.2万个实例可被远程控制。一旦被攻击者发现，用户的私人信息、账户凭证、API(应用程序编程接口）密钥等敏感数据都可能被窃取，造成严重损失。

　　蚂蚁数科将OpenClaw的主要安全风险归纳为五类：权限失控，默认权限过高易被攻击者利用；网络暴露，管理端口直连公网且未启用强认证；技能供应链，非官方渠道下载的插件可能植入恶意代码；模型行为失控，AI可能被诱导执行误操作；配置更新滞后，旧版本漏洞未修复且缺乏日志审计。

　　针对上述风险，蚂蚁数科建议用户做好四项防护：一是在隔离环境运行，避免在主力机上使用；二是从官方渠道下载，并校验安装包签名；三是禁用管理员权限，设置高强度密码并开启双重认证；四是仅从ClawHub（官方技能平台）下载技能插件，避免使用来源不明的扩展。同时建议开启操作日志，定期关注安全公告并及时更新版本。

　　目前，蚂蚁数科已在官方技能平台ClawHub上线配置安全扫描工具，可帮助用户快速检测配置问题并获取修复建议。据了解，蚂蚁数科正在开发面向企业级场景的安全产品，持续关注AI工具的安全应用。（王一川 实习生陈一宁）