今日,三大指数高开高走,全市场超4500只个股飘红,创业板指大涨3.04%。算力硬件、CPO等跟小龙虾相关的板块领涨。
在一片普涨之中,有一个方向悄然异动,盘中直线拉升—网络安全。
“小龙虾”的狂欢,引来了监管的目光。
就在昨日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)紧急发布风险提示:OpenClaw开源AI智能体部分实例在默认或不当配置情况下存在较高安全风险,极易引发网络攻击、信息泄露等安全问题。
【OpenClaw为什么会有安全问题?】
OpenClaw(俗称龙虾)发布仅两个多月,GitHub星标数超越Linux,成为历史第一。它能像数字员工一样自主操作电脑,调用API完成任务。
但正是这种自主性,埋下了安全隐患的种子。
工信部预警指出,OpenClaw在部署时存在信任边界模糊的核心问题:
自身持续运行:它不是一问一答的聊天机器人,而是7×24小时在后台运行的常驻员工。
自主决策能力:它能根据目标自行规划步骤,调用系统和外部资源。
权限失控风险:在缺乏有效权限控制、审计机制和安全加固的情况下,可能因指令诱导、配置缺陷或被恶意接管,执行越权操作。
简单来说,你把自家大门的钥匙交给了一个AI助理,但它可能被坏人利用,或者自己误操作,把门打开。
【第一批受害者已经出现】
为了让OpenClaw24小时持续运行,大量用户将其部署在云服务器上。但由于缺乏安全防护意识,很多人在配置时将控制接口直接暴露在公网环境下。
OpenClaw默认通过18789端口提供控制服务。如果没有设置严格的身份验证,任何网络扫描工具都能轻易锁定它的位置。一旦被攻击者连接,原本为你提供便利的工具,瞬间就会变成控制你电脑或服务器的跳板。
据安全机构扫描,目前处于裸奔状态的OpenClaw实例已高达27万只。
更可怕的是,攻击者已经开始主动钓鱼。
研究人员发现,一个名为@openclaw-ai/openclawai的恶意npm包,伪装成OpenClaw安装器,部署远程访问木马(RAT)并窃取敏感数据。
截至目前,该恶意包已被下载178次。
【监管层迅速出手】
工信部明确预警:建议相关单位和用户在部署和应用OpenClaw时,充分核查公网暴露情况、权限配置及凭证管理情况,关闭不必要的公网访问,完善身份认证、访问控制、数据加密和安全审计等安全机制。
深圳龙岗区在3月7日发布龙虾十条征求意见稿后,3月10日就公开回应安全性问题。龙岗区人工智能(机器人)署工作人员明确表示:
“AI发展,安全为先。”
龙岗区将构建“技术、管理、生态”三位一体的安全防控体系。
这意味着什么?意味着政务市场对AI安全的需求,将从可选变为必选。
长城证券测算,到2030年,全球AI安全市场规模有望超过1000亿美元。
【受益环节梳理】
(注意:以下内容绝不构成任何投资建议、指导或承诺,仅供交流研讨)
一、综合网络安全(最先受益)
具备整体安全解决方案能力的综合性厂商,将最先承接政务、金融、能源等重点行业的AI安全合规需求。
二、数据安全与审计(最刚需)
OpenClaw的核心风险在于数据泄露和越权操作。因此,数据加密、访问控制、操作审计等细分领域需求最为迫切。
三、政务云与国资云(底层保障)
政务类OpenClaw应用强制本地化部署,将拉动政务云、国资云的需求。同时,国产化硬件加持成为刚需。
风险提示:本文仅作分享,不构成投资建议!
作者声明: 本文转载自第三方,旨在提供资讯参考,并非证券推荐或投资建议。作者对内容的真实性、准确性不承担保证责任。本文不构成任何投资建议或证券推荐。截至发文日,作者与文中提及的标的不存在持仓关系。