工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺發(fā)布的OpenClaw安全風險預警

早在2月5日，工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺就發(fā)布了OpenClaw安全風險預警。不過，當時“養(yǎng)蝦”并未成為熱門話題，并未引起太多關注。在“養(yǎng)蝦”熱潮漸起后，3月10日，國家互聯網應急中心又發(fā)布關于OpenClaw安全應用的風險提示。

根據國家信息安全漏洞庫（CNNVD）統計，自2026年1月-2026年3月9日，共采集OpenClaw漏洞82個，其中光超危漏洞就多達12個，高危漏洞21個、中危漏洞47個、低危漏洞2個，包含了訪問控制錯誤、代碼問題、路徑遍歷等多個漏洞類型。

據動脈網了解，知名三甲醫(yī)院已經發(fā)布通知，嚴令禁止將OpenClaw接入醫(yī)院內網、業(yè)務專網及各類醫(yī)療信息系統。即便科研團隊因研究測試需要，也需要滿足安全規(guī)定，做好安全防范。

某知名三甲醫(yī)院已發(fā)布關于OpenClaw的風險通知

管理機構的迅速反應無疑是給大眾吃了一顆定心丸。不過，這并不能完全杜絕由OpenClaw導致的安全問題。畢竟，絕大多數時候，導致安全問題的主體不是系統，而是人。

僅以國內醫(yī)院信息系統必須安全機制的堡壘機為例。正常情況下，第三方運維人員登錄醫(yī)院服務器資源必須通過堡壘機分配獲得賬號才可實現安全可控的訪問。然而，部分醫(yī)院的堡壘機除了在等保測試和檢查時開啟，平時很少啟用。這是因為醫(yī)院信息系統較多，幾十個業(yè)務系統可能涉及不同的企業(yè)。運維人員會覺得堡壘機的賬號分配及權限管理增加了很多工作量，加之設置的確需要一定的專業(yè)知識。所以，部分醫(yī)院很少啟用堡壘機。

即使安全規(guī)則再嚴格，系統再完善，只要人的安全意識出現一絲大意，那么上述在另一時空由OpenClaw引發(fā)的事故，在真實世界同樣無法杜絕。

撞上安全紅線，為什么醫(yī)療環(huán)境是“龍蝦”的禁區(qū)？

OpenClaw之所以能夠得到追捧，究其根本還是在于它可以智能化處理各種任務，這使其具備了高權限、高自動化和高連通的特點。然而，這些賦予OpenClaw優(yōu)勢的特點，恰恰與安全準則背道而馳。

以最為關鍵的權限為例，傳統的網絡安全遵循最小權限原則，只授予完成任務所必需的最低權限。但OpenClaw為了完成復雜的自動化任務，通常需要被授予較高的系統權限，比如讀取文件、執(zhí)行命令、訪問網絡等。一旦其被惡意利用或AI出現誤判，就可能直接刪除核心數據或篡改系統配置，破壞力遠超普通程序。

此外，在金融、醫(yī)療等敏感領域，類似刪除數據、修改權限的關鍵操作通常需要二次確認或人工審批。OpenClaw則能夠根據自然語言指令自動規(guī)劃并執(zhí)行一系列操作，無需人工干預，具有高自動化的特點。不過，一旦指令被惡意誘導，它可能會在無人察覺的情況下執(zhí)行危險操作，且事后難以追溯責任。

安恒信息AI安全專家認為，目前，OpenClaw在醫(yī)療環(huán)境的應用存在四個核心隱患。

其一是數據隱私泄露，OpenClaw需要調用大模型，或在線搜索信息，存在數據泄露的風險。

其二是AI幻覺產生的風險。“此前已有教訓證明，OpenClaw可能會對操作命令出現幻覺或誤判，進行錯誤操作；在涉及模糊指令或信息不完整的場景中，也傾向于自行腦補缺失信息然后直接執(zhí)行，這導致了極高的操作風險。此外，在診療環(huán)節(jié)如果因為幻覺給出錯誤建議則可能出現生命危險，更為嚴重”，他表示。

第三是系統越權風險。專家認為，具有高風險的OpenClaw一旦對接醫(yī)院核心系統，極有可能成為攻擊者的跳板，防不勝防。

最后，專家認為模型的安全風險也不容低估：“OpenClaw本質上還是建立在大模型之上，可能會遭受提示詞注入、數據投毒等風險，一旦出現問題又難以追溯，需要慎重對待。”

除此以外，OpenClaw的成本風險也已眾所周知，由于OpenClaw依賴大模型進行推理，每執(zhí)行一步任務都需要調用模型接口，若在云端運行且配置不當，算力和調用費用都可能迅速增加。

當然，通過各種安全配置和限制，OpenClaw的安全風險可以得到大幅降低。不過，此時其功能也已經與最初不可同日而語。一位資深碼農向動脈網表示，如果對OpenClaw進行嚴格的安全配置，如完全本地化、嚴格權限、只讀分析，那么其與如定制自動化腳本等現有方案相比，在安全性、成本和可維護性等方面可能并沒有絕對優(yōu)勢。

AI安全專家則表示，現階段安全跟智能的確彼此矛盾，但OpenClaw仍有可取之處：“你想讓它更智能，那權限管控就要更開放，安全性就下降；你想讓它更安全，那限制就要更多，智能水平就會下降。如果針對OpenClaw做一些加固和定制化開發(fā)，即使智能水平有所下降，仍然還是有可能在醫(yī)療環(huán)境下使用。至少它還是基于大模型，用戶可以通過自然語言實現交互，這會使一些專業(yè)軟件的使用成本降低，也可以做一些文檔編輯、統計分析等輔助工作。我認為其實還是能解決很多問題。”

后OpenClaw時代，AI時代安全方案走向何方？

對于現階段在醫(yī)療環(huán)境下使用OpenClaw，安恒信息AI安全專家給出了幾個具體的安全建議。

第一是部署隔離，通過虛擬化或容器化的方式部署。尤其要與醫(yī)院HIS系統實現物理隔離。

第二是要嚴格控制權限。他在交流中提到：“一些危險的命令是需要絕對禁止執(zhí)行的，還要限制對敏感文件系統的訪問。另外，對于‘投喂’的醫(yī)療數據還需要脫敏，并且關閉OpenClaw的記憶持久化功能，畢竟，有可能你不小心提供了敏感數據，其記憶仍然是長期存在的。”

第三是需要清晰知道功能邊界。比如，禁止調用醫(yī)療系統接口，又或者僅僅只開放文檔查詢或者行政輔助的低風險能力。

第四則是安全加固。“我們需要部署安全軟件，從而實現對安全風險，如提示詞注入風險的防范；還需要建立全流程日志審計；甚至還要做到一鍵關停，從而在出現風險后能夠及時阻斷”，他補充說道。

最后則是安全合規(guī)治理。“我們肯定要先做這種安全評估，有必要的話要進行這種醫(yī)護培訓，然后定期的由這個管理員去要進行這個漏洞掃描和補丁更新。”

眾多安全廠商也開始行動起來，比如，安恒信息就緊急發(fā)布了OpenClaw安全防護工具——ClawdSecbot，能夠對OpenClaw漏洞進行掃描并進行一鍵式防護，并由管理員制定安全策略對OpenClaw的潛在風險進行阻斷。

專家認為，AI智能體的日趨火爆正在給醫(yī)療安全市場提出了新的要求：“目前，傳統的EDR軟件是基于進程行為進行風險識別，雖然可以防止AI執(zhí)行一些敏感命令或者禁止訪問特定目錄，但對于基于意圖方式的風險識別能夠起到的作用越來越小。比如這個進程的行為到底是由用戶觸發(fā)，還是由提示詞或者說是由惡意代碼等外部內容觸發(fā)，現有安全軟件是判斷不出來的。”

“AI智能體，特別是OpenClaw這種端側智能體的火爆對于安全來講將是一個分水嶺。傳統安全方案其實是靜態(tài)規(guī)則，或者說是一種邊界防護，在AI環(huán)境下效果越來越小。未來我們可能需要強化行為分析，通過對系統的指令做上下文分析，也就是對行為意圖進行分析。這將是AI時代安全方案的發(fā)展方向”，他補充道。

專家表示，這類能夠滿足AI時代的安全方案仍有一定難度：“我們既要考慮所有的風險場景，處理海量的數據；又要考慮性能問題，不能系統開銷過大；還要考慮安全產品自身的安全性問題。目前，我們也在做一些AI防護的預演工作，盡快推出成熟的AI安全方案。”

寫在最后

OpenClaw的爆火或許值得我們深思。具有如此高風險且尚不成熟的應用竟然能夠如傳銷一般迅速火遍互聯網，甚至被堂而皇之討論引入到最為看重安全的醫(yī)療環(huán)境，著實讓人始料未及。雖然其效率提升著實令人心動；但另一方面，對于風險的普遍漠視似乎也是當前醫(yī)療領域數據安全問題的注解。

在可以預見的將來，AI智能體必將持續(xù)火爆。這也給安全行業(yè)提出了巨大挑戰(zhàn)，醫(yī)療領域乃至整個社會將急切需要更符合AI時代的安全方案。當然，不管技術如何變化，更為重要的恐怕是醫(yī)療人對安全的敬畏。畢竟，任何好的安全配置和規(guī)則在人性面前都將不值一提。

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App