AI智能体裸奔危机：23万实例无认证，内部凭证泄露成最大漏洞

智能体安全怎么保障

这周，圈子里，最热的话题，莫过于，OpenClaw（俗称“龙虾”）智能体的安全风波了。

它的下载量在短短三周内，就超过了Linux系统三十年积累的量，这个被称为开源AI智能体的东西，因为具备能全自动处理办公任务的能力而爆火。

然而，问题紧接着就跟随出现了，那就是默认配置当中不存在任何认证机制，它直接对19890端口进行监听，进而致使全球范围内超过23万个实例在网络里呈现“裸奔”状态。

工信部和国家互联网应急中心都发布了风险提示。

这为我们敲响了警示的钟声，AI智能体尽管使用起来较为便利，然而信任的边界务必要清晰明确，权限的开放一定要最小化，绝对不可以鉴于便捷而舍弃安全的底线。

内部凭证泄露如何防范

不少人觉得网络安全便是防范黑客、堵塞漏洞，然而Telus Digital最近所披露的数据泄露事件却告知我们：最为危险的常常是“合法登录”呢。

黑客组织ShinyHunters借助从别的数据泄露事件当中获取的有效凭证，凭借合法用户的身份于Telus系统里潜伏靠近一年时间，偷偷摸摸地窃取了约莫1PB的客户数据。

整个进程里不存在任何恶意软件，不存在异常流量，传统的防火墙失灵了，入侵检测系统也完全失灵了。

我因这件事，尤为深刻地认识到，企业得构建出名为“永不信任，始终验证”的零信任体系，针对每回访问，针对每一项操作，都需进行连贯性的监控，以及持续性的审计。

新法规带来什么影响

今年1月1日，新《网络安全法》正式施行，其将处罚力度直接翻倍，其中包括对关键信息基础设施运营者的罚款，从500万提升至1000万元，同时直接责任人也要承担20至100万元的罚款。

这表明，网络安全并非是那种买几个盒子就可以当成完成任务的“清单式合规”，而是一定要切实执行到位的“效果导向监管”。

身为企业安全负责人，我每日思索，我们的数据分类分级，是否已落实到位？

供应链安全管理跟上了吗？

员工的安全意识培训够不够？

因为一旦出事，付出的代价将远超过往。

个人数据怎么保护

让人看了心里直发怵的数据泄露事件，于最近在法国被曝光出来，黑客发起攻击致使超过1500万人的医疗记录以及个人信息出现泄露情况，且这一事件涉及了大约1500家医疗机构。

姓名、电话、地址甚至部分敏感诊疗记录全部泄露。

这再次说明，在数字化时代，没有任何人的数据是绝对安全的。

对于我们这些普通的人而言，所能做的事情便是，在不同的平台之上使用不一样的密码，倘若能够开启多因素认证那就开启，对于不明白的链接绝对不要去点击，那些有着“免费空投”“零门槛奖励”这般宣传的内容千万不要去相信。

保护数据安全，既是企业的责任，也是我们每个人的必修课。

最后，想要询问一下大家，在平常的工作以及生活当中，你碰到过最令你心怀后怕之感的网络安全方面的事件究竟是什么呢？

欢迎在评论区分享你的经历，让更多人引以为戒。

要是觉着此文存有价值，可千万别忘却去点赞并转发，致使能够有更多的人目睹这些真切的风险。