近日，密碼管理工具1Password安全團(tuán)隊(duì)發(fā)布緊急警告，稱(chēng)攻擊者正利用近期爆火的AI智能體OpenClaw向macOS用戶散播惡意軟件。這一事件不僅為普通用戶敲響警鐘，更為蓬勃發(fā)展的信創(chuàng)產(chǎn)業(yè)拉響了安全警報(bào)。

一、事件還原

OpenClaw是一款面向個(gè)人與輕量團(tuán)隊(duì)的低門(mén)檻AI自動(dòng)化代理工具，作為官方名稱(chēng)，核心定位是通過(guò)自然語(yǔ)言指令，替代人工完成流程化、重復(fù)性工作，無(wú)需用戶掌握編程技能，適配多場(chǎng)景自動(dòng)化需求。然而，這項(xiàng)便利功能正被黑客巧妙利用。

攻擊者偽裝成合法的集成教程，在OpenClaw的“技能”文件中植入惡意指令。用戶在執(zhí)行看似常規(guī)的設(shè)置步驟時(shí)，會(huì)不知不覺(jué)運(yùn)行一段Shell命令，該命令會(huì)解碼隱藏載荷、下載惡意腳本，并移除macOS的“文件隔離”安全標(biāo)記。

二、有多大危害？

植入的惡意軟件屬于“信息竊取類(lèi)”，與傳統(tǒng)病毒不同，它專(zhuān)注于靜默竊取高價(jià)值數(shù)據(jù)：瀏覽器Cookie、登錄會(huì)話、密碼、SSH密鑰、開(kāi)發(fā)者API令牌等。

對(duì)開(kāi)發(fā)者而言，這意味著攻擊者可能借此滲透源代碼庫(kù)、云基礎(chǔ)設(shè)施和企業(yè)CI/CD系統(tǒng)，造成連鎖式數(shù)據(jù)泄露。更令人擔(dān)憂的是，為限制AI權(quán)限而生的模型上下文協(xié)議在此類(lèi)社會(huì)工程學(xué)攻擊面前形同虛設(shè)。

三、信創(chuàng)環(huán)境面臨同等威脅

在信創(chuàng)產(chǎn)業(yè)快速發(fā)展的今天，越來(lái)越多的政企單位引入AI助手和自動(dòng)化工具提升效率。但若缺乏相應(yīng)安全防護(hù)，這些智能工具同樣可能成為攻擊突破口。

金融、政務(wù)、能源等關(guān)鍵領(lǐng)域的信創(chuàng)系統(tǒng)一旦遭受類(lèi)似攻擊，敏感數(shù)據(jù)泄露、系統(tǒng)被控等后果將不堪設(shè)想。攻擊者可能長(zhǎng)期潛伏，持續(xù)竊取信息，這對(duì)強(qiáng)調(diào)自主可控、安全可靠的信創(chuàng)體系構(gòu)成嚴(yán)峻挑戰(zhàn)。

四、筑牢防線：漏洞掃描與滲透測(cè)試不可或缺

面對(duì)此類(lèi)新型安全威脅，專(zhuān)業(yè)的漏洞掃描與滲透測(cè)試服務(wù)顯得尤為關(guān)鍵：

主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)：定期進(jìn)行全面的漏洞掃描，系統(tǒng)檢測(cè)已知漏洞、配置不當(dāng)、權(quán)限過(guò)寬等隱患

模擬真實(shí)攻擊：通過(guò)滲透測(cè)試模擬黑客攻擊手法，驗(yàn)證安全防護(hù)措施有效性

聚焦應(yīng)用安全：在AI工具普及的當(dāng)下，加強(qiáng)對(duì)應(yīng)用層面、集成接口、數(shù)據(jù)通道的安全評(píng)估

建立持續(xù)防護(hù)：安全非一勞永逸，需建立常態(tài)化且周期性安全檢測(cè)、漏洞掃描規(guī)則，及時(shí)發(fā)現(xiàn)并修復(fù)漏洞

五、給信創(chuàng)用戶的緊急建議

對(duì)任何“快捷設(shè)置命令”保持警惕，要充分驗(yàn)證其來(lái)源可靠性

定期更新系統(tǒng)和安全補(bǔ)丁

對(duì)敏感系統(tǒng)實(shí)施最小權(quán)限原則

考慮引入專(zhuān)業(yè)安全團(tuán)隊(duì)進(jìn)行定期評(píng)估

建立應(yīng)急響應(yīng)預(yù)案，確保事件發(fā)生時(shí)能快速處置

OpenClaw安全事件揭示了一個(gè)嚴(yán)峻現(xiàn)實(shí)：技術(shù)越智能，攻擊面可能越寬廣。

面對(duì)此類(lèi)新型威脅，單純依靠系統(tǒng)自帶的防護(hù)已遠(yuǎn)遠(yuǎn)不夠。專(zhuān)業(yè)的信息安全測(cè)評(píng)，是構(gòu)建主動(dòng)防御體系的核心。通過(guò)系統(tǒng)性的漏洞掃描，可以提前發(fā)現(xiàn)并修復(fù)已知隱患；而模擬真實(shí)攻擊的滲透測(cè)試，則是檢驗(yàn)系統(tǒng)抗打擊能力的有效手段。真正的智能，不僅在于能做什么，更在于能安全地做什么。 在擁抱技術(shù)便利之前，每個(gè)信創(chuàng)單位都應(yīng)率先確認(rèn)：我們的數(shù)字防線，是否經(jīng)過(guò)了嚴(yán)格的信息安全測(cè)評(píng)？我們的應(yīng)用生態(tài)，是否通過(guò)了全面的信創(chuàng)測(cè)試？我們的安全邊界，是否經(jīng)受住了深度的滲透測(cè)試？唯有將常態(tài)化的漏洞掃描與實(shí)戰(zhàn)化的滲透測(cè)試納入安全基座，才能在智能時(shí)代，既享受創(chuàng)新紅利，又牢牢守住安全底線。

審核編輯 黃宇