装插件会变砖?Steam Deck第三方插件真实风险与收益拆解

源自36位全网作者

04-20 12:30

精选参考来源

1
OpenClaw1184个恶意插件Claude找出500个零日漏洞,老金开源个安全Skill你直接拿去用
2
国家互联网应急中心发布OpenClaw安全风险预警近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险: 1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。 2. “误操作”风险。由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。 3.功能插件(skills)投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”。 4.安全漏洞风险。截止目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。 建议相关单位和个人用户在部署和应用OpenClaw时,采取以下安全措施: 1.强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题; 2.加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制; 3.严格管理插件来源,禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。 4.持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。
全部
来源
内容由AI生成

精选参考来源

1. OpenClaw1184个恶意插件Claude找出500个零日漏洞,老金开源个安全Skill你直接拿去用

2. 国家互联网应急中心发布OpenClaw安全风险预警近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险: 1.“提示词注入”风险。网络攻击者通过在网页中构造隐藏的恶意指令,诱导OpenClaw读取该网页,就可能导致其被诱导将用户系统密钥泄露。 2. “误操作”风险。由于错误的理解用户操作指令和意图,OpenClaw可能会将电子邮件、核心生产数据等重要信息彻底删除。 3.功能插件(skills)投毒风险。多个适用于OpenClaw的功能插件已被确认为恶意插件或存在潜在的安全风险,安装后可执行窃取密钥、部署木马后门软件等恶意操作,使得设备沦为“肉鸡”。 4.安全漏洞风险。截止目前,OpenClaw已经公开曝出多个高中危漏洞,一旦这些漏洞被网络攻击者恶意利用,则可能导致系统被控、隐私信息和敏感数据泄露的严重后果。对于个人用户,可导致隐私数据(像照片、文档、聊天记录)、支付账户、API密钥等敏感信息遭窃取。对于金融、能源等关键行业,可导致核心业务数据、商业机密和代码仓库泄露,甚至会使整个业务系统陷入瘫痪,造成难以估量的损失。 建议相关单位和个人用户在部署和应用OpenClaw时,采取以下安全措施: 1.强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题; 2.加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制; 3.严格管理插件来源,禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。 4.持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。

3. 误删邮件,刷爆信用卡?安全养虾必备指南

4. 先别急“养龙虾”,这些AI安全问题你可能还不知道!附安全解决方案...

5. #国家网络安全通报中心通报OpenClaw风险#省流总结下,就是说目前OpenClaw隐患巨大,设计有漏洞、默认暴露在外网、历史漏洞多、插件10%带毒、智能体可能失控删数据。建议别在公网用,及时打补丁,少装不明插件,设好密码,限制权限,防被黑。

6. 全网首发,Claude Code高危漏洞解析!

7. 360发布“养龙虾”安全指南! #大有学问 #养龙虾 #OpenClaw #AI工具 #红衣聊AI

8. #钉钉建议企业不装龙虾#最近一直有看到各种跟“养龙虾”有关的新闻,了解了以后才知道,它是一个可以自主执行的插件乍一看好像非常方便,可其实仔细想一想就会发现潜在的风险科技确实应该给人类带来更多的便捷,但这种便捷必须是在有专业安全防护措施的情况下,而不是给用户带来风险!!

9. 【工信部NVDB提醒:有假冒OpenClaw专门植入木马!名单公布】近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现,有攻击组织利用OpenClaw(俗称“龙虾”)热度,仿冒OpenClaw下载网站和安装文件,诱导用户下载包含恶意程序的安装文件。一旦用户运行包含恶意程序的安装文件后,该文件将在终端设备中隐蔽加载恶意程序,释放并植入远程控制木马,可能造成网络攻击、系统受控、信息泄露等后果。目前,监测发现的仿冒域名包括:ai-openclaw.com.cn、web-openclaw.com.cn,恶意安装包名称包括:openclaw.zip、openclawAI 7beAolenc.zip、openclaw.exe、opealeAi_7beAole-x64.exe等。建议用户要通过可信渠道下载安装OpenClaw及其技能插件,谨慎点击不明链接,防范网络攻击风险。对于普通用户,官方此前建议使用专用设备、虚拟机或容器安装OpenClaw,并做好环境隔离,不宜在日常办公电脑上安装。此外,建议不将OpenClaw默认端口(18789\19890)暴露到公网、建议不使用管理员或超级用户权限运行OpenClaw、建议安装可信技能插件(Skills)、建议不在OpenClaw环境中存储/处理隐私数据等。

10. #微信龙虾插件#微信推出官方龙虾插件ClawBot,更新微信最新版本后可以在【微信】-【我】-【设置】-【插件】,查看终端安装指令,即可将 OpenClaw 接入微信,连接后用户就能通过微信聊天的方式,快速调用自己的“龙虾”高效互动。有需要的可以试试~

11. #手机厂商为何开始做龙虾# 小米Xiaomi miclaw的发布,标志着AI Agent从电脑端走向手机高频场景,手机龙虾成为AI发展新趋势已是必然。手机厂商争相布局,核心是抢占系统级AI入口,避免沦为硬件组装厂,同时依托手机的人车家生态,让AI从“聊天”转向“主动做事”,实现跨设备协同。与电脑龙虾的专业级办公部署不同,手机龙虾更贴合日常高频需求,能感知短信、日历等本地信息,自主完成行程规划、设备控制等轻量任务,把AI助手装进口袋。而手机NPU算力提升、用户对便捷交互的需求,也为手机龙虾落地提供了基础。这一布局不仅重构人机交互,更让AI深度融入生活场景,未来手机龙虾或将成为旗舰机标配,推动AI从工具向“数字分身”进化。重要一点,不得不考量手机版龙虾类AI应用开放高权限,埋下多重安全隐患。其一,本地敏感信息泄露风险,短信、通话记录、定位、日历等权限下放后,若AI模型或应用存在漏洞,易被窃取个人隐私、行程轨迹甚至金融相关信息,形成精准诈骗素材。其二,设备被控与误操作,AI可直接启动应用、控制智能家居、设置系统功能,权限失控可能导致恶意指令执行,如误删数据、擅自开启摄像头/麦克风,甚至远程操控联网设备。其三,权限叠加的连锁风险,单一权限泄露影响有限,但AI整合多维度高权限后,易形成信息闭环,放大泄露危害;同时,第三方技能/子智能体的接入,会让权限管理边界模糊,增加监管难度。此外,模型推理的不可控性,若AI因数据偏差产生错误判断,高权限下的错误行动会直接影响用户财产与设备安全,成为手机端的安全短板。手机厂商为何开始做龙虾

12. #钉钉建议企业不装龙虾#钉钉建议企业不装龙虾!OpenClaw的核心风险点在于,无论什么版本,其“自主执行”特性,会导致企业无法实现全流程操作管控,并且还面临数据窃取隐患,极易引发企业数据泄露、办公系统被控,这后果可是不堪设想。 ​​​

13. SteamDeck 这类掌机游戏设备,真的值得购买吗?

14. 初始化你的🦞之后,可以装一个起安全防护作用的skill-security-auditor,用来审查你之后从各种地方看到安装的skill是否安全在让🦞安装的同时可以再附上以下内容:在 AGENTS.md 的 "## Safety" 章节添加:- 安装任何新 skill 前,必须先运行 `skill-security-auditor` 审计- 风险评分 >40 的 skill 不建议安装- 不要 exfiltrate 私人数据

15. 包教包会! 2026重装系统教程 :笔记本/台式机全覆盖

16. 如何将 OpenClaw 龙虾从电脑上安全彻底地卸载 ?

17. 今日,国家互联网应急中心发布风险提示。近期,OpenClaw应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。前期,由于OpenClaw智能体的不当安装和使用,已经出现了一些严重的安全风险:“提示词注入”风险、“误操作”风险、功能插件投毒风险、安全漏洞风险。建议相关单位和个人用户在部署和应用OpenClaw时,采取以下安全措施:1.强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题。2.加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制。3.严格管理插件来源,禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。4.持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。#2026年安排国防支出1.94万亿元#

18. 微信正式发布「ClawBot」插件,支持接入OpenClaw,使用体验如何?

19. #高校相继发布龙虾使用禁令#龙虾(OpenClaw)本质是高权限AI智能体,要接管电脑就得给最高权限。默认配置漏洞多、第三方插件无审核,极易被投毒、劫持、盗数据。高校有科研、学籍、财务敏感数据,禁令不是保守,是守住网络底线。 搞机的洲子的微博视频

20. 【#官方发布养龙虾安全风险提示#】3月10日,国家互联网应急中心发布关于OpenClaw安全应用风险提示。近期,OpenClaw(“小龙虾”,曾用名Clawdbot、Moltbot)应用下载与使用情况火爆,国内主流云平台均提供了一键部署服务。此款智能体软件依据自然语言指令直接操控计算机完成相关操作。为实现“自主执行任务”的能力,该应用被授予了较高的系统权限,包括访问本地文件系统、读取环境变量、调用外部服务应用程序编程接口(API)以及安装扩展功能等。然而,由于其默认的安全配置极为脆弱,攻击者一旦发现突破口,便能轻易获取系统的完全控制权。 建议相关单位和个人用户在部署和应用OpenClaw时,强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题。#工信部专家建议坚持最小权限养龙虾#

21. 事关“龙虾”,国家互联网应急中心发布风险提示 财联社 国家互联网应急中心发布关于OpenClaw安全应用的风险提示。建议相关单位和个人用户在部署和应用OpenClaw时,采取以下安全措施:1.强化网络控制,不将OpenClaw默认管理端口直接暴露在公网上,通过身份认证、访问控制等安全控制措施对访问服务进行安全管理。对运行环境进行严格隔离,使用容器等技术限制OpenClaw权限过高问题;2.加强凭证管理,避免在环境变量中明文存储密钥;建立完整的操作日志审计机制;3.严格管理插件来源,禁用自动更新功能,仅从可信渠道安装经过签名验证的扩展程序。4.持续关注补丁和安全更新,及时进行版本更新和安装安全补丁。

22. #国家网络安全通报中心通报openclaw风险# OpenClaw安全风险不容忽视,2.3万暴露资产敲响警钟国家再次通报OpenClaw存在安全风险,这意味着OpenClaw是真存在安全风险,而不是小题大做。可能有人认为,开源软件难免有漏洞,做好防护就行。但问题是,多少人真正懂得做好防护?即便懂,面对OpenClaw自身的设计缺陷,用户做的防护能起到多大作用?这一点很值得大家考虑,因为不是危言耸听。先看看这组数字:历史漏洞多达258个,近期82个漏洞中,超危和高危就有33个。默认绑定0.0.0.0:18789,允许任意IP访问,远程无需认证。所以,这不是疏忽,而是架构层面埋下的雷。然后是插件生态问题,针对ClawHub的3016个技能插件分析发现,336个包含恶意代码,占比10.8%,超过十分之一的概率,用户装上就可能被“投毒”。还有17.7%的插件从外部获取不可信内容,攻击者可以远程篡改执行逻辑。这还不算完。OpenClaw的智能体层存在权限失控风险,多轮对话就能修改AI行为模式,执行层与操作系统直接交互,一旦被利用,服务器被控制、数据被窃取、终端被接管,都不是危言耸听。这玩意,专业人员玩玩可能没啥事,技术不行的甚至没技术的普通人去玩,就是在玩火。开源不等于安全,技术狂热不能替代风险意识。通报给出的防范建议很明确:内网运行、启用认证、谨慎安装插件、限制智能体权限。这不是限制创新,而是守住底线。对于那些仍在公网裸奔的OpenClaw用户,需要慎重考虑了。技术可以追新,但安全不能裸奔。(来源:头条新闻)国家网络安全通报中心通报openclaw风险

23. #微博声浪计划##听见微博# “龙虾”AI因高效功能走红,但工信部专家提醒审慎使用。其默认配置存高危漏洞,全球超27万台设备暴露公网,易被黑客接管;36%插件含后门,提示词注入可泄露密钥。官方防护措施有技术门槛,普通用户建议暂缓部署,确需使用需限制API用量并禁用支付功能。 科技晓鑫的微博音频

24. #钉钉建议企业不装龙虾#近期OpenClaw热度极高,不少企业跟风部署办公场景。官方明确提示:无专业安全防护前提下,不建议企业在办公电脑与环境直接使用。该工具存在数据泄露、密钥被盗、系统被非法控制等风险,技能市场恶意程序频发,企业核心数据极易受损。个人尝鲜可以,办公场景务必谨慎,先做好安全评估与防护,别让效率工具变成安全隐患。

25. 如何看待《战地风云 6》不兼容 Steam Deck?

26. 玩家工具丨几分钟看懂Steam Deck十个必装插件,Decky Loader安装方法与核心插件全解析

27. 超实用SteamDeck文件传输插件,让游戏模式具备输入与传输能力

28. Steam Deck帧率优化实战

29. Steam Deck低配救星,“小黄鸭”完整安装与实战教学解析

30. 拆解了四个Steam“神器”后我发现

31. Steam Deck帧率优化实战

32. Steam Deck免费游戏不再错过,Free Loader插件完整安装与使用指南

33. ROG Ally掌机刷SteamOS体验报告26年1月

34. SteamOS插件商店安装及12款必备插件功能详解 小黄鸭 TDP控制 风灵月影 ROG XBOX ALLY X/Steamdeck 通用教程 主题美化

35. SteamDeck 11.18更新后,插件报错解决方法

36. GPD Win Mini Bazzite 安装 decky-loader - 哔哩哔哩

1
扫一下,分享更方便,购买更轻松
0评论

当前文章无评论,是时候发表评论了
提示信息

取消
确认
评论举报

最新文章 热门文章