會造成工控系統(tǒng)失控等安全風(fēng)險(xiǎn)!工信部旗下單位發(fā)布工業(yè)領(lǐng)域OpenClaw應(yīng)用風(fēng)險(xiǎn)通報(bào)
http://www.moduwu.com 2026-03-13 15:34 《中華工控網(wǎng)》原創(chuàng)
最近一段時間,開源AI智能體OpenClaw(俗稱“龍蝦”)異常火爆,不僅受到國內(nèi)產(chǎn)業(yè)界和廣大用戶的廣泛關(guān)注,大家更是積極開展實(shí)踐應(yīng)用。工信部旗下國家工業(yè)信息安全發(fā)展研究中心近日發(fā)布風(fēng)險(xiǎn)預(yù)警通報(bào),對OpenClaw在工業(yè)領(lǐng)域的應(yīng)用風(fēng)險(xiǎn)進(jìn)行了系統(tǒng)梳理,提示相關(guān)企業(yè)高度警惕潛在安全威脅。
據(jù)通報(bào)介紹,OpenClaw是一款開源AI智能體,能夠依據(jù)自然語言指令直接操控計(jì)算機(jī)執(zhí)行定制化操作,具備持久記憶、主動執(zhí)行等技術(shù)能力,憑借顛覆性的"人機(jī)交互"模式,在技術(shù)社區(qū)和公眾領(lǐng)域引發(fā)廣泛關(guān)注。
目前,OpenClaw正加速向工業(yè)領(lǐng)域的研發(fā)設(shè)計(jì)、生產(chǎn)制造、運(yùn)維管理等環(huán)節(jié)滲透部署。然而,該系統(tǒng)存在信任邊界模糊、多渠道統(tǒng)一接入、大模型靈活調(diào)用、雙模持久化記憶等特點(diǎn),一旦缺乏有效的權(quán)限控制策略或安全審計(jì)機(jī)制,可能因指令誘導(dǎo)、供應(yīng)鏈投毒等手段被惡意接管,進(jìn)而危害工業(yè)企業(yè)正常生產(chǎn)運(yùn)行。
三大核心風(fēng)險(xiǎn)不容忽視
在操作員站、工程師站部署OpenClaw,需授予較高的系統(tǒng)權(quán)限。通報(bào)指出,OpenClaw存在權(quán)限管控機(jī)制的固有缺陷,極易出現(xiàn)越權(quán)執(zhí)行操作,無視操作員合法指令,擅自發(fā)布錯誤或異常操作指令,可能直接干擾生產(chǎn)流程、破壞設(shè)備運(yùn)行邏輯,造成參數(shù)紊亂、產(chǎn)線中斷、設(shè)備損毀等嚴(yán)重后果,甚至引發(fā)安全生產(chǎn)事故。
通報(bào)顯示,目前已發(fā)現(xiàn)多個適用于OpenClaw的功能插件被確認(rèn)為惡意插件或存在潛在安全風(fēng)險(xiǎn)。攻擊者可直接利用惡意插件竊取工業(yè)圖紙、API密鑰等核心機(jī)密信息。此外,由于OpenClaw對指令的理解精度不穩(wěn)定,可能錯誤調(diào)用數(shù)據(jù)導(dǎo)出或內(nèi)容發(fā)布功能,將本應(yīng)隔離保存的關(guān)鍵工藝參數(shù)、生產(chǎn)數(shù)據(jù)等內(nèi)部敏感信息直接發(fā)布至互聯(lián)網(wǎng)。
若部署時未修改默認(rèn)網(wǎng)絡(luò)監(jiān)聽配置且缺乏有效邊界防護(hù),OpenClaw管理界面將直接暴露于公共互聯(lián)網(wǎng),極易被網(wǎng)絡(luò)空間測繪手段發(fā)現(xiàn)。通報(bào)特別指出,目前OpenClaw已爆出80余個安全漏洞,攻擊者可低成本實(shí)施精準(zhǔn)匹配利用,快速獲取平臺控制權(quán)限。一旦被攻陷,OpenClaw還可能被用作自動化攻擊助手,對企業(yè)內(nèi)網(wǎng)開展資產(chǎn)探測、漏洞利用等操作,實(shí)現(xiàn)橫向移動或持久化控制。
三項(xiàng)安全防護(hù)建議
針對上述風(fēng)險(xiǎn),通報(bào)參照《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》等相關(guān)要求,提出三項(xiàng)處置建議:
一是加強(qiáng)控制權(quán)限管理。原則上禁止向OpenClaw提供系統(tǒng)級權(quán)限,確需授權(quán)的須經(jīng)充分安全評估與審批,嚴(yán)格限定權(quán)限范圍,并對智能體運(yùn)行過程實(shí)施持續(xù)安全監(jiān)測與審計(jì)。
二是強(qiáng)化網(wǎng)絡(luò)邊界隔離。OpenClaw應(yīng)部署于獨(dú)立隔離區(qū),嚴(yán)禁與工業(yè)控制網(wǎng)絡(luò)直接連通,禁止將默認(rèn)管理端口直接暴露于互聯(lián)網(wǎng),如需遠(yuǎn)程訪問應(yīng)通過企業(yè)級VPN、零信任網(wǎng)絡(luò)或跳板機(jī)進(jìn)行受控接入。
三是做好漏洞補(bǔ)丁修復(fù)。應(yīng)從官方渠道下載最新穩(wěn)定版本,及時安裝安全補(bǔ)丁,嚴(yán)格管理插件來源,僅安裝經(jīng)過簽名驗(yàn)證的可信擴(kuò)展程序。
隨著AI智能體在工業(yè)場景的應(yīng)用日趨廣泛,其與工業(yè)控制系統(tǒng)深度融合所帶來的安全風(fēng)險(xiǎn)亦不容低估。此次通報(bào)的發(fā)布,是主管部門在AI工業(yè)化落地浪潮下強(qiáng)化安全監(jiān)管的重要舉措,相關(guān)企業(yè)應(yīng)對照建議盡快開展自查整改。
相關(guān)新聞
- ? 浙江2026規(guī)上工業(yè)增加值增速錨定6% 左右,AI 終端提速
- ? “人工智能+制造”重磅部署,五大行業(yè)迎轉(zhuǎn)型路線圖
- ? 人工智能技術(shù)加速應(yīng)用落地
- ? “人工智能+制造”怎么推進(jìn)?工信部等八部門印發(fā)專項(xiàng)行動實(shí)施意見
- ? 工信部:推進(jìn)“人工智能+制造”專項(xiàng)行動,培育一批重點(diǎn)行業(yè)智能體、智能原生企業(yè)
- ? 工信部高質(zhì)量辦理重點(diǎn)督辦建議 破局“人工智能+制造” 一批建議辦理見成效
- ? 政策、技術(shù)、場景“三浪疊加”!灣區(qū)AI新浪潮涌起
- ? 工信部:積極開展“人工智能+制造”應(yīng)用探索 推進(jìn)工業(yè)機(jī)器人等智能制造裝備規(guī)模化部署
- ? “人工智能+制造”,鍛造新質(zhì)生產(chǎn)力強(qiáng)引擎
- ? 粵港澳大灣區(qū)國際人工智能與機(jī)器人高峰會2025隆重揭幕 "AI與人形機(jī)械人全接觸"主題周同步啟動
編輯精選
- ? 首個人形機(jī)器人與具身智能標(biāo)準(zhǔn)體系發(fā)布
- ? 2 月份中國制造業(yè)景氣度創(chuàng)五年來最強(qiáng)勁改善率
- ? 匯川攜手中國聯(lián)通發(fā)布Universe平臺
- ? 舍弗勒宣布樂聚為首個中國具身智能合作伙伴,人形機(jī)器人走向全球產(chǎn)業(yè)協(xié)同
- ? 埃斯頓港股上市,“A+H”雙資本平臺戰(zhàn)略加速國際化布局
- ? 《2025年人形機(jī)器人市場研究報(bào)告》發(fā)布
- ? ABB機(jī)器人攜手英偉達(dá) 加速工業(yè)級物理AI規(guī)模化落地
- ? 打造“5G+工業(yè)互聯(lián)網(wǎng)”升級版 為智能經(jīng)濟(jì)注入強(qiáng)勁動能
- ? 2026成都國際工業(yè)博覽會開幕,西部智造"向綠向智"加速跑
- ? 康佳特aReady.YOURS提供快速可靠的全定制嵌入式設(shè)計(jì)
工控原創(chuàng)
- ? ADI:人形機(jī)器人爆發(fā)背后,連接與感知仍是關(guān)鍵挑戰(zhàn)
- ? 春啟智造新篇!2026年3月工業(yè)自動化資訊全覽
- ? 當(dāng)AI跨越虛實(shí)鴻溝,西門子如何在物理世界重寫工業(yè)規(guī)則?
- ? 會造成工控系統(tǒng)失控等安全風(fēng)險(xiǎn)!工信部旗下單位發(fā)布工業(yè)領(lǐng)域OpenClaw應(yīng)用風(fēng)險(xiǎn)通報(bào)
- ? ABB機(jī)器人攜手英偉達(dá) 加速工業(yè)級物理AI規(guī)模化落地
- ? 舍弗勒宣布樂聚為首個中國具身智能合作伙伴,人形機(jī)器人走向全球產(chǎn)業(yè)協(xié)同
- ? 營收首破400億歐元大關(guān) 施耐德電氣2025財(cái)年交出強(qiáng)勁業(yè)績
- ? 高效電機(jī)市場強(qiáng)勁復(fù)蘇,2030年規(guī)模預(yù)計(jì)翻番至31億美元
- ? 美的剝離伺服資產(chǎn),聚焦核心部件突圍
- ? 六十載創(chuàng)新積淀,ADI開啟邊緣智能新篇章
