工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)發(fā)布的OpenClaw安全風(fēng)險(xiǎn)預(yù)警

早在2月5日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)就發(fā)布了OpenClaw安全風(fēng)險(xiǎn)預(yù)警。不過(guò)，當(dāng)時(shí)“養(yǎng)蝦”并未成為熱門(mén)話(huà)題，并未引起太多關(guān)注。在“養(yǎng)蝦”熱潮漸起后，3月10日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心又發(fā)布關(guān)于OpenClaw安全應(yīng)用的風(fēng)險(xiǎn)提示。

根據(jù)國(guó)家信息安全漏洞庫(kù)（CNNVD）統(tǒng)計(jì)，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82個(gè)，其中光超危漏洞就多達(dá)12個(gè)，高危漏洞21個(gè)、中危漏洞47個(gè)、低危漏洞2個(gè)，包含了訪(fǎng)問(wèn)控制錯(cuò)誤、代碼問(wèn)題、路徑遍歷等多個(gè)漏洞類(lèi)型。

據(jù)動(dòng)脈網(wǎng)了解，知名三甲醫(yī)院已經(jīng)發(fā)布通知，嚴(yán)令禁止將OpenClaw接入醫(yī)院內(nèi)網(wǎng)、業(yè)務(wù)專(zhuān)網(wǎng)及各類(lèi)醫(yī)療信息系統(tǒng)。即便科研團(tuán)隊(duì)因研究測(cè)試需要，也需要滿(mǎn)足安全規(guī)定，做好安全防范。

某知名三甲醫(yī)院已發(fā)布關(guān)于OpenClaw的風(fēng)險(xiǎn)通知

管理機(jī)構(gòu)的迅速反應(yīng)無(wú)疑是給大眾吃了一顆定心丸。不過(guò)，這并不能完全杜絕由OpenClaw導(dǎo)致的安全問(wèn)題。畢竟，絕大多數(shù)時(shí)候，導(dǎo)致安全問(wèn)題的主體不是系統(tǒng)，而是人。

僅以國(guó)內(nèi)醫(yī)院信息系統(tǒng)必須安全機(jī)制的堡壘機(jī)為例。正常情況下，第三方運(yùn)維人員登錄醫(yī)院服務(wù)器資源必須通過(guò)堡壘機(jī)分配獲得賬號(hào)才可實(shí)現(xiàn)安全可控的訪(fǎng)問(wèn)。然而，部分醫(yī)院的堡壘機(jī)除了在等保測(cè)試和檢查時(shí)開(kāi)啟，平時(shí)很少啟用。這是因?yàn)獒t(yī)院信息系統(tǒng)較多，幾十個(gè)業(yè)務(wù)系統(tǒng)可能涉及不同的企業(yè)。運(yùn)維人員會(huì)覺(jué)得堡壘機(jī)的賬號(hào)分配及權(quán)限管理增加了很多工作量，加之設(shè)置的確需要一定的專(zhuān)業(yè)知識(shí)。所以，部分醫(yī)院很少啟用堡壘機(jī)。

即使安全規(guī)則再?lài)?yán)格，系統(tǒng)再完善，只要人的安全意識(shí)出現(xiàn)一絲大意，那么上述在另一時(shí)空由OpenClaw引發(fā)的事故，在真實(shí)世界同樣無(wú)法杜絕。

撞上安全紅線(xiàn)，為什么醫(yī)療環(huán)境是“龍蝦”的禁區(qū)？

OpenClaw之所以能夠得到追捧，究其根本還是在于它可以智能化處理各種任務(wù)，這使其具備了高權(quán)限、高自動(dòng)化和高連通的特點(diǎn)。然而，這些賦予OpenClaw優(yōu)勢(shì)的特點(diǎn)，恰恰與安全準(zhǔn)則背道而馳。

以最為關(guān)鍵的權(quán)限為例，傳統(tǒng)的網(wǎng)絡(luò)安全遵循最小權(quán)限原則，只授予完成任務(wù)所必需的最低權(quán)限。但OpenClaw為了完成復(fù)雜的自動(dòng)化任務(wù)，通常需要被授予較高的系統(tǒng)權(quán)限，比如讀取文件、執(zhí)行命令、訪(fǎng)問(wèn)網(wǎng)絡(luò)等。一旦其被惡意利用或AI出現(xiàn)誤判，就可能直接刪除核心數(shù)據(jù)或篡改系統(tǒng)配置，破壞力遠(yuǎn)超普通程序。

此外，在金融、醫(yī)療等敏感領(lǐng)域，類(lèi)似刪除數(shù)據(jù)、修改權(quán)限的關(guān)鍵操作通常需要二次確認(rèn)或人工審批。OpenClaw則能夠根據(jù)自然語(yǔ)言指令自動(dòng)規(guī)劃并執(zhí)行一系列操作，無(wú)需人工干預(yù)，具有高自動(dòng)化的特點(diǎn)。不過(guò)，一旦指令被惡意誘導(dǎo)，它可能會(huì)在無(wú)人察覺(jué)的情況下執(zhí)行危險(xiǎn)操作，且事后難以追溯責(zé)任。

安恒信息AI安全專(zhuān)家認(rèn)為，目前，OpenClaw在醫(yī)療環(huán)境的應(yīng)用存在四個(gè)核心隱患。

其一是數(shù)據(jù)隱私泄露，OpenClaw需要調(diào)用大模型，或在線(xiàn)搜索信息，存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。

其二是AI幻覺(jué)產(chǎn)生的風(fēng)險(xiǎn)。“此前已有教訓(xùn)證明，OpenClaw可能會(huì)對(duì)操作命令出現(xiàn)幻覺(jué)或誤判，進(jìn)行錯(cuò)誤操作；在涉及模糊指令或信息不完整的場(chǎng)景中，也傾向于自行腦補(bǔ)缺失信息然后直接執(zhí)行，這導(dǎo)致了極高的操作風(fēng)險(xiǎn)。此外，在診療環(huán)節(jié)如果因?yàn)榛糜X(jué)給出錯(cuò)誤建議則可能出現(xiàn)生命危險(xiǎn)，更為嚴(yán)重”，他表示。

第三是系統(tǒng)越權(quán)風(fēng)險(xiǎn)。專(zhuān)家認(rèn)為，具有高風(fēng)險(xiǎn)的OpenClaw一旦對(duì)接醫(yī)院核心系統(tǒng)，極有可能成為攻擊者的跳板，防不勝防。

最后，專(zhuān)家認(rèn)為模型的安全風(fēng)險(xiǎn)也不容低估：“OpenClaw本質(zhì)上還是建立在大模型之上，可能會(huì)遭受提示詞注入、數(shù)據(jù)投毒等風(fēng)險(xiǎn)，一旦出現(xiàn)問(wèn)題又難以追溯，需要慎重對(duì)待。”

除此以外，OpenClaw的成本風(fēng)險(xiǎn)也已眾所周知，由于OpenClaw依賴(lài)大模型進(jìn)行推理，每執(zhí)行一步任務(wù)都需要調(diào)用模型接口，若在云端運(yùn)行且配置不當(dāng)，算力和調(diào)用費(fèi)用都可能迅速增加。

當(dāng)然，通過(guò)各種安全配置和限制，OpenClaw的安全風(fēng)險(xiǎn)可以得到大幅降低。不過(guò)，此時(shí)其功能也已經(jīng)與最初不可同日而語(yǔ)。一位資深碼農(nóng)向動(dòng)脈網(wǎng)表示，如果對(duì)OpenClaw進(jìn)行嚴(yán)格的安全配置，如完全本地化、嚴(yán)格權(quán)限、只讀分析，那么其與如定制自動(dòng)化腳本等現(xiàn)有方案相比，在安全性、成本和可維護(hù)性等方面可能并沒(méi)有絕對(duì)優(yōu)勢(shì)。

AI安全專(zhuān)家則表示，現(xiàn)階段安全跟智能的確彼此矛盾，但OpenClaw仍有可取之處：“你想讓它更智能，那權(quán)限管控就要更開(kāi)放，安全性就下降；你想讓它更安全，那限制就要更多，智能水平就會(huì)下降。如果針對(duì)OpenClaw做一些加固和定制化開(kāi)發(fā)，即使智能水平有所下降，仍然還是有可能在醫(yī)療環(huán)境下使用。至少它還是基于大模型，用戶(hù)可以通過(guò)自然語(yǔ)言實(shí)現(xiàn)交互，這會(huì)使一些專(zhuān)業(yè)軟件的使用成本降低，也可以做一些文檔編輯、統(tǒng)計(jì)分析等輔助工作。我認(rèn)為其實(shí)還是能解決很多問(wèn)題。”

后OpenClaw時(shí)代，AI時(shí)代安全方案走向何方？

對(duì)于現(xiàn)階段在醫(yī)療環(huán)境下使用OpenClaw，安恒信息AI安全專(zhuān)家給出了幾個(gè)具體的安全建議。

第一是部署隔離，通過(guò)虛擬化或容器化的方式部署。尤其要與醫(yī)院HIS系統(tǒng)實(shí)現(xiàn)物理隔離。

第二是要嚴(yán)格控制權(quán)限。他在交流中提到：“一些危險(xiǎn)的命令是需要絕對(duì)禁止執(zhí)行的，還要限制對(duì)敏感文件系統(tǒng)的訪(fǎng)問(wèn)。另外，對(duì)于‘投喂’的醫(yī)療數(shù)據(jù)還需要脫敏，并且關(guān)閉OpenClaw的記憶持久化功能，畢竟，有可能你不小心提供了敏感數(shù)據(jù)，其記憶仍然是長(zhǎng)期存在的。”

第三是需要清晰知道功能邊界。比如，禁止調(diào)用醫(yī)療系統(tǒng)接口，又或者僅僅只開(kāi)放文檔查詢(xún)或者行政輔助的低風(fēng)險(xiǎn)能力。

第四則是安全加固。“我們需要部署安全軟件，從而實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)，如提示詞注入風(fēng)險(xiǎn)的防范；還需要建立全流程日志審計(jì)；甚至還要做到一鍵關(guān)停，從而在出現(xiàn)風(fēng)險(xiǎn)后能夠及時(shí)阻斷”，他補(bǔ)充說(shuō)道。

最后則是安全合規(guī)治理。“我們肯定要先做這種安全評(píng)估，有必要的話(huà)要進(jìn)行這種醫(yī)護(hù)培訓(xùn)，然后定期的由這個(gè)管理員去要進(jìn)行這個(gè)漏洞掃描和補(bǔ)丁更新。”

眾多安全廠(chǎng)商也開(kāi)始行動(dòng)起來(lái)，比如，安恒信息就緊急發(fā)布了OpenClaw安全防護(hù)工具——ClawdSecbot，能夠?qū)penClaw漏洞進(jìn)行掃描并進(jìn)行一鍵式防護(hù)，并由管理員制定安全策略對(duì)OpenClaw的潛在風(fēng)險(xiǎn)進(jìn)行阻斷。

專(zhuān)家認(rèn)為，AI智能體的日趨火爆正在給醫(yī)療安全市場(chǎng)提出了新的要求：“目前，傳統(tǒng)的EDR軟件是基于進(jìn)程行為進(jìn)行風(fēng)險(xiǎn)識(shí)別，雖然可以防止AI執(zhí)行一些敏感命令或者禁止訪(fǎng)問(wèn)特定目錄，但對(duì)于基于意圖方式的風(fēng)險(xiǎn)識(shí)別能夠起到的作用越來(lái)越小。比如這個(gè)進(jìn)程的行為到底是由用戶(hù)觸發(fā)，還是由提示詞或者說(shuō)是由惡意代碼等外部?jī)?nèi)容觸發(fā)，現(xiàn)有安全軟件是判斷不出來(lái)的。”

“AI智能體，特別是OpenClaw這種端側(cè)智能體的火爆對(duì)于安全來(lái)講將是一個(gè)分水嶺。傳統(tǒng)安全方案其實(shí)是靜態(tài)規(guī)則，或者說(shuō)是一種邊界防護(hù)，在AI環(huán)境下效果越來(lái)越小。未來(lái)我們可能需要強(qiáng)化行為分析，通過(guò)對(duì)系統(tǒng)的指令做上下文分析，也就是對(duì)行為意圖進(jìn)行分析。這將是AI時(shí)代安全方案的發(fā)展方向”，他補(bǔ)充道。

專(zhuān)家表示，這類(lèi)能夠滿(mǎn)足AI時(shí)代的安全方案仍有一定難度：“我們既要考慮所有的風(fēng)險(xiǎn)場(chǎng)景，處理海量的數(shù)據(jù)；又要考慮性能問(wèn)題，不能系統(tǒng)開(kāi)銷(xiāo)過(guò)大；還要考慮安全產(chǎn)品自身的安全性問(wèn)題。目前，我們也在做一些AI防護(hù)的預(yù)演工作，盡快推出成熟的AI安全方案。”

寫(xiě)在最后

OpenClaw的爆火或許值得我們深思。具有如此高風(fēng)險(xiǎn)且尚不成熟的應(yīng)用竟然能夠如傳銷(xiāo)一般迅速火遍互聯(lián)網(wǎng)，甚至被堂而皇之討論引入到最為看重安全的醫(yī)療環(huán)境，著實(shí)讓人始料未及。雖然其效率提升著實(shí)令人心動(dòng)；但另一方面，對(duì)于風(fēng)險(xiǎn)的普遍漠視似乎也是當(dāng)前醫(yī)療領(lǐng)域數(shù)據(jù)安全問(wèn)題的注解。

在可以預(yù)見(jiàn)的將來(lái)，AI智能體必將持續(xù)火爆。這也給安全行業(yè)提出了巨大挑戰(zhàn)，醫(yī)療領(lǐng)域乃至整個(gè)社會(huì)將急切需要更符合AI時(shí)代的安全方案。當(dāng)然，不管技術(shù)如何變化，更為重要的恐怕是醫(yī)療人對(duì)安全的敬畏。畢竟，任何好的安全配置和規(guī)則在人性面前都將不值一提。

760人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App