【硬件資訊】“龍蝦熱”帶來更多安全風險？哪些是真相？哪些是謠言？？

新 聞一： 微信員工回應“給 OpenClaw 指令，然后 AI 自動發紅包”：假的，玩梗的人已澄清

3 月 10 日消息，微信員工 @客村小蔣 今日發文，否認了“給 OpenClaw 指令，然后 AI 自動發紅包”一事，并直言是假的。

他表示，截圖里的 QClaw 還沒有移動端部署的方案，PC 微信也不支持發紅包，玩梗的人自己也澄清了，大家還是不要以訛傳訛。

提醒：OpenClaw 這類涉及 AI 自動化決策和操作的工具，大家注意好權限管理。工業和信息化部網絡安全威脅和漏洞信息共享平臺此前監測發現，OpenClaw 開源 AI 智能體部分實例在默認或不當配置情況下存在較高安全風險，極易引發網絡攻擊、信息泄露等安全問題。

原 文 鏈接：https://m.ithome.com/html/927703.htm

這個給 OpenClaw 指令自動發紅包的接入，應該在各個群聊中傳的沸沸揚揚了，但很快就迎來了辟謠，很顯然，這個漏洞百出的謠言也算是最近幾天傳播最廣的了。不過，這條謠言的廣泛傳播也透露了大家對新的AI應用獲得過多權限的擔憂，而這種擔憂似乎真的會出現……

新 聞2：國家互聯網應急中心發布，關于OpenClaw安全應用的風險提示

近期OpenClaw異常火爆，如何“養龍蝦”成為了人工智能（AI）領域的熱門話題，國內主流云平臺也紛紛推出了一鍵部署服務。由于這款本地AI智能體需要依據自然語言指令直接操控計算機完成相關操作，要被授予較高的系統權限，包括訪問本地文件系統、讀取環境變量、調用外部服務應用程序編程接口（API）以及安裝擴展功能等，因此引發了大家對安全問題的關注。

昨天晚上，國家互聯網應急中心針對該問題也了《關于OpenClaw安全應用的風險提示》。其中指出由于OpenClaw智能體的不當安裝和使用，已經出現了一些嚴重的安全風險：

• 1.“提示詞注入”風險。網絡攻擊者通過在網頁中構造隱藏的惡意指令，誘導OpenClaw讀取該網頁，就可能導致其被誘導將用戶系統密鑰泄露。

• 2.“誤操作”風險。由于錯誤的理解用戶操作指令和意圖，OpenClaw可能會將電子郵件、核心生產數據等重要信息徹底刪除。

• 3.功能插件（skills）投毒風險。多個適用于OpenClaw的功能插件已被確認為惡意插件或存在潛在的安全風險，安裝后可執行竊取密鑰、部署木馬后門軟件等惡意操作，使得設備淪為“肉雞”。

• 4.安全漏洞風險。截止目前，OpenClaw已經公開曝出多個高中危漏洞，一旦這些漏洞被網絡攻擊者惡意利用，則可能導致系統被控、隱私信息和敏感數據泄露的嚴重后果。對于個人用戶，可導致隱私數據（像照片、文檔、聊天記錄）、支付賬戶、API密鑰等敏感信息遭竊取。對于金融、能源等關鍵行業，可導致核心業務數據、商業機密和代碼倉庫泄露，甚至會使整個業務系統陷入癱瘓，造成難以估量的損失。

建議相關單位和個人用戶在部署和應用OpenClaw時，采取以下安全措施：

• 1.強化網絡控制，不將OpenClaw默認管理端口直接暴露在公網上，通過身份認證、訪問控制等安全控制措施對訪問服務進行安全管理。對運行環境進行嚴格隔離，使用容器等技術限制OpenClaw權限過高問題；

• 2.加強憑證管理，避免在環境變量中明文存儲密鑰；建立完整的操作日志審計機制；

• 3.嚴格管理插件來源，禁用自動更新功能，僅從可信渠道安裝經過簽名驗證的擴展程序。

• 4.持續關注補丁和安全更新，及時進行版本更新和安裝安全補丁。

與此同時，人民網昨晚也提醒，表示要注意到“龍蝦”很強的執行能力也給用戶帶來了嚴峻的安全挑戰，網絡安全是動態的，黑客攻擊手法也在不斷迭代，不能把“打補丁”和“升版本”當成“一勞永逸”的安全保障，呼吁黨政機關、企事業單位和個人審慎使用“龍蝦”。

原文鏈接：https://www.expreview.com/104625.html

果然，國家互聯網應急中心緊急發布了《關于OpenClaw安全應用的風險提示》，表明了諸多可能的風險，其中“提示詞注入”就與上文的發紅包情況類似。不過，大家倒也不用過度擔心，只要正確部署、控制權限范圍、加強風險預警，OpenClaw仍舊是很好的效率提升工具。

新 聞3： 微軟或正測試Windows 11新功能，允許AI直接實時讀取用戶任務欄窗口

據國外網站Windows Lastest報道，微軟似乎正在測試一項Windows 11的新任務欄功能——允許虛擬助手共享任務欄任意窗口，該功能將允許帶有AI助手功能的應用，如Copilot 和 Microsoft 365 Copilot從任務欄里直接讀取用戶的工作窗口，以提供更便捷的AI輔助體驗。

Windows Lastest稱，根據國外Windows愛好者 @phantomofearth的分享，在Windows 11的設置界面中，出現了一個“與虛擬助理共享我的任務欄中任何窗口”的選項，打開選項后，當用戶鼠標懸停在任務欄應用上時，系統彈出的縮略圖下方會出現一個“分享給Copilot”的按鈕。點擊按鈕后可讓Copilot分析應用窗口上的內容，包括閱讀可見內容、總結信息、建議回復，或通過自身光標高亮 UI 元素引導操作，不過這個功能被設計為只讀的輔助界面，AI能看見用戶所見的內容，但不會控制窗口或與受保護的內容進行交互。

Windows Lastest還發現，微軟正在使用一個名為“Windows.UI.Shell.ShareWindowCommandSource”的 Windows API，允許 Teams 等軟件接入任務欄，原本這個API是為通訊軟件設計的，但目前微軟似乎正在擴展它的功能，使AI軟件也能夠成為共享目標，讓Windows直接從任務欄傳遞特定的窗口ID。除了能設定是否直接讀取窗口外，用戶還能決定共享窗口時哪一類AI軟件優先級更高，目前只有Copilot 和 Microsoft 365 Copilot加入了微軟AI軟件的白名單，不知道未來是否會有更多第三方軟件加入。

原文鏈接：https://www.expreview.com/104306.html

相較而言，微軟這些功能看起來就有些落后了，在OpenClaw之前，Copilot的這項功能是很少的可以調用較高權限的AI功能，只能說是生不逢時了，不知道微軟會不會也將Copilot的權限進一步提高呢？？

買電腦討論群：386615430

二手硬件回收微信號：diannaobapingceshi

文章轉載自網絡（鏈接如上）。文章出現的任何圖片，標志均屬于其合法持有人；本文僅作傳遞信息之用。如有侵權可在本文內留言。

引用文章內容與觀點不代表電腦吧評測室觀點.