 |
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,有攻击者利用针对苹果公司终端产品的漏洞利用工具实施网络攻击活动,可导致信息窃取、系统受控等严重危害。影响范围包括运行iOS 13.0至17.2.1的iPhone、iPad等苹果公司终端产品。攻击者通过短信、邮件或网页投毒等方式,诱导用户使用Safari浏览器访问包含恶意代码的网页,综合利用终端设备中存在的安全漏洞,向受害终端产品植入远程控制木马,窃取用户敏感信息,获取最高权限并控制。建议使用苹果公司终端产品的用户做好风险排查,尽快通过升级版本和安装补丁等方式修复漏洞(可参考苹果公司安全更新公告:https://support.apple.com/zh-cn/100100)。留意系统更新通知和苹果公司发布的最新安全更新公告,及时升级最新安全版本,强化使用安全意识,避免点击不明链接,防范网络攻击风险。责任编辑:刘光博…
近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,有攻击者利用针对苹果公司终端产品的漏洞利用工具实施网络攻击活动,可导致信息窃取、系统受控等严重危害。影响范围包括运行iOS 13.0至17.2.1的iPhone、iPad等苹果公司终端产品。攻击者通过短信、邮件或网页投毒等方式,诱导用户使用Safari浏览器访问包含恶意代码的网页,综合利用终端设备中存在的安全漏洞,向受害终端产品植入远程控制木马,窃取用户敏感信息,获取最高权限并控制。建议使用苹果公司终端产品的用户做好风险排查,尽快通过升级版本和安装补丁等方式修复漏洞(可参考苹果公司安全更新公告:https://support.apple.com/zh-cn/100100)。留意系统更新通知和苹果公司发布的最新安全更新公告,及时升级最新安全版本,强化使用安全意识,避免点击不明链接,防范网络攻击风险。责任编辑:刘光博…
我们每天都在使用搜索引擎查找信息、获取资源,它早已是数字生活的必备工具。正规搜索引擎持续优化升级,以强大算法与安全能力拦截成千上万的恶意攻击,全方位保障用户的使用安全。但仍有不法分子不遗余力地钻空子,一步一步诱导用户走入他们设下的陷阱。记者从国家安全部了解到,国家安全机关工作发现,有不法分子通过给搜索结果添加恶意模块等方式,大肆开展站点权限获取、敏感文件资料窃取等非法活动,威胁国家安全。手段揭秘:投毒“黑招”所谓搜索“投毒”,就是不法分子利用黑帽SEO技术,通过违规手段恶意操纵搜索引擎排名,把虚假信息、木马链接、诈骗页面、有害内容推到搜索结果靠前位置,让普通网民在不知情的情况下点击有害网站,从而实现引流、诈骗、窃密、传播不良信息等目的。他们的作案流程,就好比“地下流水线”。第一步,找“被忽视的网站”。一些单位的网站,如长期不更新、未及时修补漏洞、密码设置…
微信公众号“国家安全部”3月17日发布“龙虾”(OpenClaw)安全养殖手册。全文如下:OpenClaw(昵称“龙虾”)是一款开源AI智能体工具,上线不久便迅速成长为2026年度现象级“开源奇迹”。不少用户从付费安装“龙虾”,到付费卸载“龙虾”,养“龙虾”正在成为一场智能体的狂欢。但火热的“龙虾”在创新改变生活的同时,也存在原生风险。小安特别提示,广大用户要理性辨别、规范使用,以积极的心态和慎重的执行拥抱人工智能时代,让“龙虾”成为遵规守纪、产能高效的“数字员工”。微信公众号“国家安全部”摸清“龙虾”的生产特点“龙虾”智能体通过整合通信软件和大语言模型,依托高权限实现自主操作,成为其核心优势。——从“给出方案”到“落地执行”。“龙虾”不像大模型智能体通过问答提供咨询建议,而是可以通过聊天程序远程执行用户指令,自主完成任务。——从“固定功能”到“多种插件”。“龙虾”内置了大量…
来源:央视网 央视网消息:3月15日,中国互联网金融协会发布关于OpenClaw在互联网金融行业应用安全的风险提示。 近期,开源AI智能体OpenClaw(“龙虾”)下载与使用热度持续攀升,该智能体通常默认获取较高系统权限,可依据自然语言指令直接操控计算机等终端。日前,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)、国家互联网应急中心(CNCERT)已发布相关安全风险提示。当前,互联网金融行业线上化、数字化程度极高,直接处理客户的资金、资产、账户和个人金融数据等关键敏感信息。OpenClaw智能体虽能提升工作效率,但其默认的高系统权限与弱安全配置,极易被攻击者利用,成为窃取敏感数据或非法操控交易的突破口,给行业带来严峻的风险挑战。对此,中国互联网金融协会现就有关风险提示如下: 一、主要风险表现 (一)资金损失风险 OpenClaw已公开披露多个中高危漏洞,攻击者可利用此类漏洞或…
来源:央视网 央视网消息:据国家网络安全通报中心公众号消息,OpenClaw自发布以来,凭借其强大的自动化任务处理能力与开放式插件生态,在全球范围内引发部署热潮。国家网络与信息安全信息通报中心监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中境内活跃的OpenClaw互联网资产约2.3万个,呈现爆发式增长态势,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的OpenClaw资产存在重大安全风险,极易成为网络攻击的重点目标。 一、OpenClaw主要安全风险 OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险,一旦被攻击者利用,可能导致服务器被控制、敏感数据泄露等严重安全问题。 1、架构设计缺陷多,层层皆可破。OpenClaw采用多层架构,但是每层均存在设计缺陷。IM集成网关层可被攻击者伪造消息绕过身份认证,智能体…
3月13日,国家网络与信息安全信息通报中心发文表示,OpenClaw自发布以来,凭借其强大的自动化任务处理能力与开放式插件生态,在全球范围内引发部署热潮。国家网络与信息安全信息通报中心监测数据显示,目前全球活跃的OpenClaw互联网资产已超20万个,其中境内活跃的OpenClaw互联网资产约2.3万个,呈现爆发式增长态势,主要集中在北京、上海、广东、浙江、四川、江苏等互联网资源密集区域。大量暴露于互联网的OpenClaw资产存在重大安全风险,极易成为网络攻击的重点目标。一、OpenClaw主要安全风险OpenClaw在架构设计、默认配置、漏洞管理、插件生态、行为管控等方面存在较大安全风险,一旦被攻击者利用,可能导致服务器被控制、敏感数据泄露等严重安全问题。1、架构设计缺陷多,层层皆可破。OpenClaw采用多层架构,但是每层均存在设计缺陷。IM集成网关层可被攻击者伪造消息绕过身份认证,智能体层可被多轮对话修改AI智能…
新京报贝壳财经讯(记者韦英姿)3 月 12 日,腾讯推出OpenClaw安全工具箱,为企业和用户提供安全保障。根据OpenClaw专项安全监控站Declawed披露,全球已有超过23万台OpenClaw实例暴露于公网,中国地区也成为潜在的高风险区域。腾讯相关负责人表示,AI Agent与传统应用不同,拥有更多执行系统命令、读写文件、调用插件等高级权限。一旦被攻击者利用,这些能力将反向成为攻击利器,可能导致本地凭证密钥被窃取、浏览器被劫持、甚至加密资产被盗等一系列严重后果,尤其是金融、政务、医疗等对安全要求极高的行业。此前,工信部、国家互联网应急中心也已陆续下发风险提示。3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示,其中提到,由于OpenClaw默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。目前已经出现的安全风险包括用户“误操作”风险、功能插件(skills)投毒风险…
新京报贝壳财经讯(记者韦英姿)3 月 12 日,腾讯推出OpenClaw安全工具箱,为企业和用户提供安全保障。根据OpenClaw专项安全监控站Declawed披露,全球已有超过23万台OpenClaw实例暴露于公网,中国地区也成为潜在的高风险区域。腾讯相关负责人表示,AI Agent与传统应用不同,拥有更多执行系统命令、读写文件、调用插件等高级权限。一旦被攻击者利用,这些能力将反向成为攻击利器,可能导致本地凭证密钥被窃取、浏览器被劫持、甚至加密资产被盗等一系列严重后果,尤其是金融、政务、医疗等对安全要求极高的行业。此前,工信部、国家互联网应急中心也已陆续下发风险提示。3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示,其中提到,由于OpenClaw默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。目前已经出现的安全风险包括用户“误操作”风险、功能插件(skills)投毒风险…
新京报讯 3月10日,国家互联网应急中心发布关于OpenClaw安全应用的风险提示。近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险:1。“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。2。 “误操作”风险。由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件…
