前几天,一家企业的安全负责人来找我,问:“你知道我们小龙虾都藏在哪儿吗?”我,微步威胁感知平台——TDP,看了看自己采集的流量,已然成竹在胸。他告诉我,越来越多的员工开始使用OpenClaw,大家都说很好用,但他心里有点没底。听说,全球已经有26万+OpenClaw实例暴露在公网,其中1.2万个可以被远程代码执行。听完他的担忧,我想我有必要回答他三个问题。
1、谁在内网养“小龙虾”员工装OpenClaw,无非就是为了提效或者尝鲜。但作为安全团队,往往并不知道谁在用。通过网络流量特征,我可以识别:
- 哪些终端正在运行OpenClaw
- 哪些设备之间在访问OpenClaw服务
- 哪些新服务突然在内网出现
于是,我能清楚看到,内网里到底有多少只小龙虾,无论是装在办公电脑,还是服务器上。
2、“小龙虾”有没有对公网开放更危险的情况,是直接暴露到了公网,因为OpenClaw默认监听 0.0.0.0:18789。然而很多人对此并不了解,所以部署后就已经暴露了。攻击者只要扫描到,就能尝试利用。所以我需要能看到:
- 外部地址对OpenClaw服务的访问(外→内)
- 内网设备访问这些服务(内→内)
如果出现了异常的外部访问,那就说明已经暴露了。
3、有没有访问公网的“小龙虾”不过,千万不要觉得本地没有小龙虾就放松下来,因为如果员工在公网部署了OpenClaw实例,从办公网访问,风险可能很大。比如:(1)数据可能被托管在未知服务器邮件、日历、文件、代码库这些得到授权使用的生产力数据,可能会经过一台未知的服务器上,一不小心就踩到数据合规红线,或者被拿去滥用。(2)变成攻击通道如果那台公网OpenClaw实例已经被攻击者控制,员工连接它,就等于给攻击者搭了一条从公网进入企业内网的隧道。攻击者可以借助员工授权的凭证,反向访问企业内部资源。你看这里就有内部主机,访问外部的OpenClaw实例。
后记作为流量观察员,TDP最近挺忙的。就像这次一样,总忙着帮企业把这些事情看清楚:
- 谁在内网养“小龙虾”
- 哪些服务已经对公网开放
- 谁在访问公网的小龙虾
因为在AI工具越来越普及的今天,真正增加企业攻击面的,就是那些悄悄上线,却没人看见的“小龙虾”们。
扫码即刻沟通试用
↓↓↓
– END –
构建数字安全免疫力,守护企业生命线
微信扫码联系客服
原创文章,作者:lishengli,如若转载,请注明出处:https://www.lishengli.com/lee/5705.html
