2026-05
一、基本情况近期,开源AI智能体OpenClaw(俗称“龙虾”)以其颠覆性的“人机交互”模式,在技术社区及公众领域引发广泛关注。OpenClaw(曾用名Clawdbot、Moltbot)是一款开源AI智能体,可依据自然语言指令直接操控计算机完成相关定制化操作,具备持久记忆、主动执行等技术能力,目前正加速在工业领域研发设计、生产制造、运维管理等环节部署应用。然而,由于OpenClaw存在信任边界模糊、多渠道统一接入、大模型灵活调用、双模持久化记忆等特点,...
2026-04
1. 令牌管理不当与密钥暴露OWASP 指出,在 MCP 系统里,token 和各类凭证是模型、工具、服务之间完成认证与授权的核心载体。但开发者很容易把这些 secret 放进配置文件、环境变量、prompt 模板,甚至让它们残留在模型上下文记忆和日志里。由于 MCP 系统常常是长会话、带状态、上下文持久化的,这些凭证可能在后续交互中被召回、被日志检索到,或者被攻击者通过提示注入方式套出来。这类风险真正可怕的地方在于,泄露的往往不是一个"...
2025-04
在数字化办公全面普及的当下,扫描类软件凭借高效的文字识别、图文转换功能,成为提升工作效率的“利器”。无论是处理文件、整理资料,一键扫描就能快速完成,极大便利了日常工作流程。然而,这份便捷背后,却隐藏着不容忽视的泄密风险,一旦使用不当,极易成为突破安全防线的“致命缺口”。 回顾典型案例,曾有机关工作人员因图方便,违规使用互联网扫描软件处理涉密会议纪要。文件被自动备份至网盘后,由于账号密码防护薄弱,...
2025-03
近日,人工智能工具DeepSeek以其强大的功能和便捷的操作,迅速赢得了广大用户的青睐。然而,随着DeepSeek火爆“出圈”,一些不法分子也开始蠢蠢欲动,他们利用大语言模型DeepSeek本地化部署场景实施钓鱼攻击,传播恶意程序,危害严重。 攻击者通过高频关键词搜索引擎投毒,构建仿冒网站等方式,诱导用户下载伪造的DeepSeek本地部署工具包,传播木马程序。一旦被植入木马,攻击者可进一步控制用户服务器,导致窃取敏感信息、破坏系统数据,...
2025-02
近日,从有关渠道获取消息:关于使用Ollama工具部署大模型存在未授权访问的风险提示。监测发现,用于私有化部署DeepSeek等大模型的境外开源工具Ollama默认未设置身份验证和访问控制功能,其默认服务API接口(http://XX.XX.XX.XX:11434)可以在未授权情况下被调用,攻击者可远程访问该接口,调用私域大模型计算资源,窃取知识库、投喂虚假甚至有害信息等。建议各地区各部门指导督促本地区本部门有关单位使用Ollama部署大模型时采取以下措施,...
2024-06
1.1漏洞描述CVE-2024-30064:Windows Kernel本地权限提升漏洞经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以未经授权访问系统资源,并可能允许他们以与受感染进程相同的权限执行操作。CVE-2024-30068:Windows Kernel本地权限提升漏洞经过普通用户身份认证的本地攻击者通过运行特制的程序来利用此漏洞。成功利用此漏洞的攻击者可以获得SYSTEM权限。CVE-2024-30078:Windows Wi-Fi驱动远程代码执行漏洞未经身份认证的局域网攻击者可以向使用Wi-...
山东商务职业学院版权所有
