bet356亚洲版本体育今年以来,人工智能(AI)代理工具OpenClaw(俗称Lobster)凭借自主执行复杂任务、可扩展技能包等强大功能,在开源社区迅速成长。但爆炸发生后,“张开爪”接二连三地暴露出多重安全隐患。世界各地的监管机构和科技公司目前正在发布有关张爪使用的指南和规范。中国国家知识产权局4月1日发布风险提示,称Open Claw等智能工具默认安全设置较弱,极易造成严重安全风险。同时,使用此类代理准备专利申请文件也可能带来多重风险。漏洞安全问题频繁发生。 “Open Claw”是由奥地利软件工程师Peter Steinberger 开发的。开源人工智能代理软件。 Agent采用分层架构深度连接社交即时通讯软件和自动化代理,同时通过插件系统扩展多种工具的功能。虽然这种层次结构赋予了 Open Claw 灵活性和可扩展性,但它也带来了多维的安全风险。 1月下旬,开源平台GitHub上发布的一份安全审计报告显示,Open Claw存在512个安全漏洞,其中8个被列为“严重”,针对身份认证、保密管理等领域。 2月下旬,国际网络安全机构Oasis Security的研究人员发布了一份报告,声称Open Claw的核心系统存在一个名为“ClawJacked”的严重安全漏洞。攻击者可以通过恶意网页劫持代理,从而获得设备权限并访问系统数据。 Open Claw 团队将此漏洞评为“非常严重”,并在 24 小时内发布了修复程序。我做到了。论M8月30日,中国360数字安全集团在其官方微信公众号发布消息称,“张开爪”平台发现高危漏洞,影响全球50多个国家和地区。微软安全团队发布的风险报告表明,使用Open Claw可能会让您面临两种类型的攻击风险:恶意技能插件和间接单词注入。 Open Claw 的运行能力依赖于社区平台提供的技能插件。绿盟科技近期发布的一份安全报告指出,在缺乏严格的代码审计和签名验证的情况下,攻击者可以通过发布包含恶意文字或代码的恶意技能插件来实现“代码中毒”。用户只需单击一下即可加载此类插件,从而使攻击者能够持续存在于受害者的系统上。攻击者加载自定义技能插件的门槛非常低。您所需要做的就是注册一个非真实姓名的 GitHub 帐户。加速器根据 Palo Alto Networks 2 月份发布的数据,研究人员在相关平台上发现了 800 多个针对 Open Claw 的恶意技能插件。请求词注入是一种针对大型语言模型的攻击技术。它可以分为两种技术:直接注入(攻击者直接输入恶意指令)和间接注入(通过外部数据源,例如网页或文档进行攻击)。模式。美国网络安全服务公司CrowdStrike近日在其官网发布消息称,快速文字注入带来的主要威胁是敏感数据的泄露。鉴于 Open Claw 对敏感文件和系统的高级别访问权限,这种风险尤其严重。间接注入进一步放大了风险。攻击者不需要直接与 Open Claw 交互;他们所要做的就是污染其读取的数据,并且恶意指令可以渗透到软件的决策过程中。我机构和跨国公司已经发布了关于Open Claw是否适合在其公司内部实施应用程序的使用规范。中兆公司的文章称,如果员工在公司设备上实施“Opin Claw”或将其连接到公司系统,如果配置不当且缺乏安全防护,则可能成为系统的“后门”并执行攻击者的指令。行业参与者建议个人或企业用户不要在办公室或敏感设备上运行“Open Claw”。如果需要部署,需要采取严格的控制措施,如权限管理、隔离机制、持续监控、环路安全防护等。完全的。据媒体报道,出于控制和风险管理的考虑,美国元界平台公司、韩国多语音通讯公司等跨国科技公司已禁止禁止员工在办公设备上使用“张开的爪子”。与此同时,许多国家的监管部门也发布了有关张爪使用的安全指南。荷兰数据保护局在 2 月份发表声明,建议用户和组织不要在包含敏感或机密数据(例如访问代码、财务和管理信息、员工数据、个人文件和身份证件)的系统上使用“Open Claw”和类似的人工智能代理。我们建议您谨慎对待外部插件,实施严格的访问控制,并在存在泄露风险时及时更新登录信息。该监管机构还呼吁像 Open Claw 这样的人工智能代理受到欧盟人工智能法的管辖。 3月22日,国家互联网应急中心等组织发布《Open Claws安全使用实用指南》。工信部信息共享平台组织邀请相关机构制定防范开源情报“张开爪子”安全风险的“六件事做、六件事不做”建议。
(编辑:刘鹏)
每日更新