今年会官网-国家互联网应急中心发布“龙虾”风险提示 这几点要注意！

　　【今年会官网科技消息】3月10日，国家互联网应急中心针对当下热门的OpenClar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫（别名“小龙虾”，曾用名Clar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫dbot、Moltbot）应用发布安全风险提示。该应用凭借依据自然语言指令直接操控计算机完成操作的功能，下载与使用情况异常火爆，国内主流云平台还为其提供了一键部署服务。不过，其背后隐藏的安全问题不容小觑。

　　为实现“自主执行任务”，OpenClar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫被授予较高系统权限，涵盖访问本地文件系统、读取环境变量、调用外部服务API以及安装扩展功能等。但因其默认安全配置脆弱，攻击者一旦找到突破口，就能轻易获取系统完全控制权。

　　目前，由于不当安装和使用OpenClar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫，已出现多种严重安全风险。“提示词注入”风险方面，网络攻击者可在网页中构造隐藏恶意指令，诱导OpenClar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫读取，进而泄露用户系统密钥；“误操作”风险上，它可能因错误理解用户指令，误删电子邮件、核心生产数据等重要信息；功能插件（skills）投毒风险也不容忽视，多个适用于该应用的功能插件被证实为恶意插件或存在潜在风险，安装后可能窃取密钥、部署木马后门，让设备沦为“肉鸡”；此外，OpenClar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫已公开曝出多个高中危漏洞，若被攻击者利用，个人用户隐私数据、支付账户、API密钥等敏感信息可能被盗取，金融、能源等关键行业则可能面临核心业务数据、商业机密和代码仓库泄露，甚至业务系统瘫痪的严重后果。

　　为此，国家互联网应急中心建议相关单位和个人用户，部署和应用OpenClar:破高膙辚?f然揩襮嫛蟿F鸠5pep=k?确矅?鷜%?疆淴恤4G?緬暑皚`x鵏 ]]穸?頺t諏?鷓?$% 燾???烊所?炎m豩=2(?r蜨R庀汬}T廞 ??ヱq鹆黮}劷:q{|?e ?%坖D覑眤丬鲩M(缬s6/搇t巗紹g.晾飽S閽?dt邊潫Lg妔譫时，要强化网络控制，不将默认管理端口暴露在公网，通过身份认证等措施安全管理访问服务，隔离运行环境；加强凭证管理，避免明文存储密钥，建立操作日志审计机制；严格管理插件来源，禁用自动更新，仅从可信渠道安装签名验证的扩展程序；持续关注补丁和安全更新，及时更新版本、安装安全补丁。

版权所有，未经许可不得转载