【AI衝擊波之慎用科技】亂用「龍蝦」引狼入室 黑客秒破防私隱盡失 網安專家實測揭逾二千保安漏洞 若無防火牆猶如「網絡裸奔」
人工智慧技術席捲全球,大眾對「AI助理」的需求日益迫切,但便捷背後暗藏資訊安全風險。中小企老闆陳先生早前安裝俗稱「龍蝦」的開源系統「OpenClaw」,隨即連接家庭Wi-Fi、綁定電子錢包等,三天後赫然發現其中一個電子錢包內的20萬元一夜間消失,即使馬上卸除「龍蝦」仍未能把漏洞連根拔起。網絡安全專家龐博文接受香港文匯報訪問時,即場實測共發現2,127個已錄入中美國家漏洞數據庫(CVE)的保安漏洞,其中超級嚴重漏洞多達33個、高危漏洞也有249個,他形容端口防護幾近空白,普通用戶若在未配備防火牆與入侵檢測設備的情況下下載使用,形同「網絡裸奔」,數據可被輕易竊取,主機也會在數分鐘內被黑客完全控制。
●香港文匯報記者 文禮願
受社交媒體對「龍蝦」隨傳隨到私人助理的宣傳影響,陳先生早前出於好奇,一鍵安裝該系統,全程僅耗數分鐘。隨後他將「龍蝦」連接家庭Wi-Fi,且為求便捷,陸續綁定電子錢包、加密貨幣錢包、郵箱及多個社交、購物平台賬號,殊不知已將自身數位安全門鑰親手交給潛在攻擊者。
電子錢包20萬元一夜消失
安裝僅三天,陳先生赫然發現其中一個電子錢包內的20萬元一夜間消失。他嚇得不知所措,馬上向熟悉網絡安全的專家朋友求救。經調查後發現失款是「龍蝦」系統綁定惹禍,他向香港文匯報說:「專家告知,原來該系統缺乏基本隔離與加密機制,黑客入侵後可輕易通過內存提取(Memory Dumping)獲取所有綁定憑證,實現財產盜取、資訊監控等惡意操作。」
智慧城市聯盟資訊科技管理委員會主席龐博文直指,陳先生的行為形同「數位自殺」。他分析,「龍蝦」系統的設計漏洞,讓黑客無需高超技術,即可輕易實施攻擊:「入侵後不僅能在數秒內令電子錢包歸零,還可通過盜取郵箱重置銀行賬號密碼,將銀行戶口據為己有,甚至利用用戶社交賬號向親友發送詐騙資訊,形成連鎖危害。」
為徹底揭露「龍蝦」系統的安全漏洞,龐博文對今年3月版「龍蝦」系統即場開展模擬攻防實測,還原普通用戶使用場景,若未對系統進行任何額外安全加固,僅依賴其自帶基礎配置,黑客只要搭建常用的Linux攻擊環境,驚險場景瞬間發生:由於「龍蝦」系統默認關閉「登錄嘗試次數限制」,攻擊工具僅用1秒就完成密碼爆破,成功獲取系統最高控制權——熒幕即時顯示,攻擊者可隨意讀取用戶本地檔案、操控設備所有功能,全程毫無阻礙,普通用戶毫無防禦之力。
攻擊者入侵無需複雜操作
進一步端口掃描與漏洞檢測顯示,該版本系統累計存在2,127個CVE認證漏洞,其中33個超級嚴重漏洞、249個高危漏洞直接暴露核心運行模塊,多個端口處於「敞開狀態」,無任何防火牆、入侵檢測機制防護,龐博文形容與「網絡裸奔」毫無差別。他強調,攻擊者無需複雜操作,僅通過自動化掃描工具,即可遠端定位這類無防護設備,快速完成入侵控制,全程僅需數分鐘。
更致命的是,部分「龍蝦」版本設計初衷僅為實驗用途,完全捨棄傳輸層安全協議(TLS),這意味着用戶與系統間的所有指令、對話及敏感資訊,均以「明文」形式在網絡中傳輸。「黑客無論是處於同一網絡環境,還是通過遠端掃描,都能像閱讀報紙一樣,輕易獲取用戶所有隱私,毫無隱秘可言。」龐博文補充道。
全民資安意識務須重建
針對「龍蝦」系統帶來的安全警示,龐博文提出,重建全民資安意識是當務之急,首要任務是打破「科技即安全」的錯誤幻覺。他表示,任何具備聯網功能的設備,本質上都是連接外界的「數位之門」,若缺乏完善的加密機制與認證體系,絕不適合引入私人或私密使用場景。
龐博文建議,政府與教育機構應將資訊保安防禦知識納入市民的基礎生活常識普及範圍,引導市民認識到保護數位身份與保護財產安全同樣重要,從源頭杜絕「因貪圖便捷而放棄安全」的行為,防範類似安全風險蔓延。
