关于工业领域OpenClaw应用的风险预警通报

　　近期，开源AI智能体OpenClaw（俗称“龙虾”）以其颠覆性的“人机交互”模式，在技术社区及公众领域引发广泛关注。OpenClaw是一款开源AI智能体，可依据自然语言指令直接操控计算机完成相关定制化操作，具备持久记忆、主动执行等技术能力，目前正加速在工业领域研发设计、生产制造、运维管理等环节部署应用。然而，由于OpenClaw存在信任边界模糊、多渠道统一接入、大模型灵活调用、双模持久化记忆等特点，一旦缺乏有效的权限控制策略或安全审计机制，可能因指令诱导、供应链投毒等被恶意接管，造成工控系统失控、敏感信息泄露等一系列安全风险，严重危害工业企业正常生产运行。

　　工业领域具有数据敏感性高、系统集成度强、工业场景复杂、生产流程严苛等特点，企业在应用OpenClaw赋能提升生产效率、优化流程管理的同时，也因其高权限设计、自主决策特性与工业场景适配性偏差等问题，面临系统越权失控、敏感信息泄露、外部攻击面增加等潜在风险隐患。

　　企业在操作员站、工程师站部署应用OpenClaw时，需授予其较高的系统权限以辅助执行相关工业生产控制。然而，OpenClaw存在权限管控机制固有缺陷，极易出现越权执行操作，无视操作员合法指令，擅自发布错误或异常操作指令，可能直接干扰生产流程、破坏设备运行逻辑，进而造成参数紊乱、产线中断、设备损毁等严重后果，甚至引发安全生产事故。

　　目前已发现多个适用于OpenClaw的功能插件被确认为恶意插件或存在潜在的安全风险热点话题。如果工业企业在使用OpenClaw过程中感染恶意插件且未设置安全防护策略，攻击者可直接利用恶意插件窃取工业图纸、API密钥等核心机密信息。此外，由于OpenClaw对指令的理解精度不稳定，可能在理解操作指令和意图上存在偏差，错误调用数据导出或内容发布功能，并利用其已获取的系统权限，将本应隔离保存的关键工艺参数、生产数据等内部敏感信息，直接发布在互联网上。警惕！OpenClaw工业领域风险预警发布 防范潜在安全威胁