龙虾的安全，由我蚂蚁来保障？ (opens in new tab)

fff 蚂蚁AI安全实验室联合清华大学开源了OpenClaw的防御插件ClawAegis，只能说这波动作实在太快了。这件事还要追溯到前几天OpenClaw发布了更新，GitHub的官方公告里，修复了蚂蚁提交上来的8条BUG，会导致的后果包括但不限于：- 最高的「严重级」漏洞，攻击者用一个普通账号就能接入管理权限后门，理论上最终可以接管整个龙虾，指哪打哪；- 次要的「高危级」漏洞，能绕开审核限制直接读取电脑里的文件，也存在跟前者类似的权限问题；- 连最轻的「普通级」漏洞，也会通过白名单降级导致权限混乱，让本该只能在特定群组使用的龙虾，变成了谁都能跟它说话。我记得年初有张图是这么吐槽OpenClaw的安全问题的，想用OpenClaw的安全漏洞来做点坏事的话，来钱可能比搞电诈还快。所以从Mac Mini热卖开始，除了系统环境确实更适合OpenClaw之外，「龙虾最好不要部署在常用电脑上」也成为了大家对安全性的共识。只不过后来的热度实在远超预期，在FOMO的驱使下，大家都在忙着装龙虾、配Skills、烧Token，安全问题逐渐被忽视，已经没人再关心自己的OpenClaw实例是不是在裸奔了...