OpenClaw爆火後,最先賺錢的是上門安裝,只不過還不到一周,上門“卸載”也成了新生意。當人們還沉浸在“僱傭數字牛馬”的美夢中時,第一批“養蝦人”已經開始連夜尋求卸載,催生了價值299元的上門徹底卸載服務,“龍蝦卸載指南”也開始在網絡上流傳。
上門卸載“龍蝦”服務出現報價低於“上門安裝”
最近AI模型OpenClaw全網爆火,“上門安裝”成為了熱門話題。此前藍鯨新聞記者調查發現,由於開源智能體項目OpenClaw安裝有一定門檻,因此“上門付費安裝OpenClaw”業務井噴,單次在500元到上千元的價格並沒有阻擋大眾擁抱AI的熱情,有從事該服務的人透露,一天內可以接到30人左右的詢單,有網友稱靠此業務賺到26萬元。
只不過,短時間內爆紅也帶來了各種問題,OpenClaw也迅速從“安裝”走到“卸載”。
藍鯨新聞記者從二手交易平台查詢發現,今日不少“上門卸載OpenClaw”服務已經上架,服務詳情寫道:“專業遠程/上門卸載,安全乾凈無殘留”,還有的帖子則表示“上門卸載解決你的AI焦慮”,“一次上門、徹底卸載,守護最好的人類”,“專治各種AI上癮症、token耗盡焦慮、黎曼猜想強迫症……”
雖然聽起來是“玩梗”,但藍鯨新聞記者諮詢多個店主了解到,“上門卸載”的服務確實存在,“已經有人在諮詢了,有的是擔心安全風險,也有的是覺得太燒錢”。和“上門安裝”的費用相比,“上門卸載”明顯更低,報價從29.9到299元不等。一位店主告訴藍鯨新聞記者:“肯定便宜啊,卸載沒有安裝那麼複雜,而且也不用給客戶講具體怎麼使用,省事多了。”
國家互聯網應急中心
發布風險提示
近期,OpenClaw(“小龍蝦”,曾用名Clawdbot、Moltbot)應用下載與使用情況火爆,國內主流雲平台均提供了一鍵部署服務。此款智能體軟件依據自然語言指令直接操控計算機完成相關操作。為實現“自主執行任務”的能力,該應用被授予了較高的系統權限,包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口(API)以及安裝擴展功能等。然而,由於其默認的安全配置極為脆弱,攻擊者一旦發現突破口,便能輕易獲取系統的完全控制權。
前期,由於OpenClaw智能體的不當安裝和使用,已經出現了一些嚴重的安全風險:
1.“提示詞注入”風險。網絡攻擊者通過在網頁中構造隱藏的惡意指令,誘導OpenClaw讀取該網頁,就可能導致其被誘導將用戶系統密鑰泄露。
2. “誤操作”風險。OpenClaw可能會將電子郵件、核心生產數據等重要信息徹底刪除。
3.功能插件(skills)投毒風險。多個適用於OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險,安裝後可執行竊取密鑰、部署木馬後門軟件等惡意操作,使得設備淪為“肉雞”。
4.安全漏洞風險。對於個人用戶,可導致隱私數據(像照片、文檔、聊天記錄)、支付賬戶、API密鑰等敏感信息遭竊取。對於金融、能源等關鍵行業,可導致核心業務數據、商業機密和代碼倉庫泄露。
CNCERT,公眾號:國家互聯網應急中心CNCERT
建議相關單位和個人用戶在部署和應用OpenClaw時,採取以下安全措施:
1.強化網絡控制,不將OpenClaw默認管理端口直接暴露在公網上,通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理。對運行環境進行嚴格隔離,使用容器等技術限制OpenClaw權限過高問題;
2.加強憑證管理,避免在環境變量中明文存儲密鑰;建立完整的操作日誌審計機制;
3.嚴格管理插件來源,禁用自動更新功能,僅從可信渠道安裝經過簽名驗證的擴展程序。
4.持續關注補丁和安全更新,及時進行版本更新和安裝安全補丁。
CNCERT,公眾號:國家互聯網應急中心CNCERT
來源:藍鯨新聞、 國家互聯網應急中心微信公號
編輯:狄海洲
責任編輯:吉頤