國家互聯網應急中心聯同中國網絡空間安全協會,近日聯合發布《OpenClaw安全使用實踐指南》,就近期在內地迅速走紅的開源人工智能代理工具「OpenClaw」(俗稱「龍蝦」),向普通用戶、企業用戶、雲服務商及技術開發者提出具體安全防護建議,以回應社會對其潛在網絡安全及私隱風險的關注。 早前曾發出「國家級風險提示」 指南指出,OpenClaw 屬代理式人工智能系統,能依據自然語言指令直接操控電腦完成下載、執行程式、存取檔案等操作,由於通常被賦予較高系統權限,一旦配置不當或遭惡意利用,可能導致敏感數據外洩、系統被植入惡意程式,甚至成為攻擊企業和關鍵基礎設施的新入口。 早前,國家互聯網應急中心曾就 OpenClaw 發出「國家級風險提示」,提醒市場注意提示詞注入、憑證洩露、惡意插件等多重風險,是次發布實踐指南,被視為在風險預警基礎上的進一步操作層面落實。 在普通用戶層面,指南強調應將 OpenClaw 安裝在專用設備、虛擬機或容器環境中,與日常辦公、網銀、社交等日常使用環境嚴格隔離,不宜直接安裝於日常使用的個人電腦,並避免以管理員或超級用戶權限運行,以降低因誤操作導致系統被全面接管的風險。 同時,建議用戶不在 OpenClaw 環境中存儲或處理身份證號碼、銀行帳戶、醫療紀錄等私隱及敏感資料,並需及時安裝官方發布的最新版本及安全補丁,減少已知漏洞被攻擊者利用的可能性。 企業應避免開放過高權限 對企業用戶,指南提出以下 8 點建議: 1.明確允許與禁止的使用場景、數據範圍和操作類型,建立內部使用規範和審批流程2.做好智能體運行環境的基礎網絡與環境安全防護3.做好智能體權限管理與邊界控制4.做好智能體運行監控與審計追蹤建立5.做好智能體關鍵操作保護策略6.做好智能體供應鏈安全與代碼管理7.做好智能體憑證與密鑰管理8.做好人員培訓與應急演練 指南亦對雲服務商和開發者提出要求,指出雲服務商要做好雲主機基礎安全層面的安全評測與加固、安全防護能力部署/接入,以及供應鏈及數據安全防護。 有分析認為,今次《OpenClaw…
Search Results: 數據外洩 (87)
近年全球各國政府積極推動電子化政務及數據集中化,國家數據庫儲存了國民最敏感的財務與身份資料,自然成為黑客眼中的寶庫。法國財政部近日便證實一宗網絡安全事故,部門管理的國家銀行帳戶登記冊(FICOBA)遭受黑客入侵,導致多達 120 萬帳戶資料外洩,讓過百萬市民面臨金融詐騙風險。 想知最新科技新聞?立即免費訂閱! 中招系統為集中式國家數據庫 FICOBA 是法國極為重要的金融基礎設施,由稅務機關 DGFiP 負責營運。該系統為集中式的國家數據庫,依法強制記錄法國境內所有銀行帳戶的開立、修改及取消紀錄。根據法國財政部公告,系統在今年一月遭受入侵,黑客並非利用零日漏洞攻破系統,而是盜取了一名擁有跨部門信息共享平台權限的公務員憑證。 雖然當局在發現異常後已立即切斷黑客的存取權限,但經清點後證實有過百萬帳戶資料被盜,包括帳戶持有人的身份資料、通訊地址及銀行帳戶詳情。部分案例中,連納稅人識別號碼亦一併被盜;雖然當局強調黑客無法直接利用相關數據提款,但受牽連的市民仍面臨後續的詐騙風險。 社交工程攻擊成功率大增 專家解釋,黑客掌握這些資料後,發動社交工程攻擊的成功率將大增。試想當市民收到冒充稅務局或銀行的電郵或 SMS,內容準確列出全名、地址甚至銀行戶口號碼,要求補交稅款或確認交易時,受害者往往較易輕信,並按指示提供更多私隱資料或進行轉帳。此外,黑客亦可利用這些資料偽造轉帳授權,或冒用受害者身份在其他金融機構開設假帳戶進行洗錢,潛在風險極大。當局已承諾在未來數天內通知受影響用戶,並呼籲銀行機構提高警覺。 面對這類國家級數據外洩,市民處境相對被動。專家強烈建議受影響用戶在未來數月保持高度警惕。首先,對於任何要求提供登入憑證、銀行卡號碼或進行轉帳的通訊,無論透過 SMS、電郵還是電話,均應先視為詐騙,並直接致電相關機構的官方熱線核實。法國財政部亦特別發出警告,重申稅務機關絕不會透過訊息索取用戶的登入資料。其次,市民應定期查閱銀行帳單,留意是否有任何未經授權的微額扣款或異常活動。 這次事件亦顯示了全面落實「零信任」(Zero Trust)架構的必要性。對於擁有特權存取權限的公務員或員工,必須強制實施多重身份驗證(MFA),並配合嚴格的行為分析監控,即使憑證被盜用,也能更快偵測異常流量。唯有從源頭加強對「身份」的驗證與管理,才能守護國民的數碼資產與私隱安全。 資料來源:https://www.bleepingcomputer.com/news/security/data-breach-at-french-bank-registry-impacts-12-million-accounts/
人工智能的發展加速科技創新,開啟新一輪的生產力革命。從生成式 AI (GenAI)到近日爆紅的代理式 AI (Agentic AI )助手 OpenClaw(前稱 Clawdbot / Moltbot),這股 AI 浪潮正重塑企業的營運模式,迎來無限商機,但同時亦為企業帶來網絡安全和合規性的挑戰。 香港電訊(HKT)作為本地數碼轉型的推動者,率先將 Agentic AI 技術融入企業應用場景;並且結合世界級頂尖網絡安全公司 Palo Alto Networks…
2026 年的香港商界,正面臨一場前所未有的「完美風暴」。這場風暴由三股力量匯聚而成:一是技術的野蠻生長——OpenClaw(前身為 Moltbot/Clawbot)等 Agentic AI 工具的普及,讓自動化操作變得唾手可得;二是法律的雷霆手段——除了《保護關鍵基礎設施條例》的實施,法改會針對「電腦網絡罪行」的立法建議,正將企業的資安責任從「行政處分」推向「刑事重罪」的深水區;三是人才結構的變數——被視為「數碼原住民」的青年員工,正無意間成為這場風暴的導火線。 對於 CEO 與 CIO 而言,今天的決策不再只是關於效率或預算,而是關於「自由與生存」。當一個未經審計的 AI 代理在後台執行了一個自動化點擊,可能同時觸發了技術漏洞與刑事紅線時,我們必須重新審視企業的數碼邊界。 一、 技術的雙刃劍:OpenClaw 與「無意識入侵」 OpenClaw 帶來的最大改變,是它賦予了 AI「手腳」。它不再只是像 ChatGPT…
南韓電商巨頭 Coupang 近期發生南韓史上最大規模的數據外洩事件,震撼整個科技界。這間在美國上市、每年營收超過 300 億美元的零售霸主,竟因內部管理疏忽導致高達 3,370 萬名客戶的敏感資料外洩。為了平息眾怒,Coupang 宣佈推出一項總金額高達 11.7 億美元(約 1.685 兆韓圜)的賠償計劃,試圖用「銀彈攻勢」減少這場災難所帶來的損失。 想知最新科技新聞?立即免費訂閱! 中國藉內奸非法存取數據庫 綜合官方公佈的細節可見,這次事件並非源自黑客入侵,而是典型的內部威脅(Insider Threat)。偷走機密數據的內奸是一名曾在 Coupang IT 部門任職的 43…
電腦周邊設備製造商 Logitech(羅技)正式向美國證券交易委員會(SEC)提交文件,確認公司近期遭遇嚴重網絡安全事件,涉及資料外洩。此次攻擊由臭名昭著的 Clop 勒索集團發動,並相信與今年 7 月針對 Oracle E-Business Suite 的零日漏洞攻擊有關。 想知最新科技新聞?立即免費訂閱! 敏感資料未有外洩 Logitech 在公告中指出,該事件屬於「資料外洩型網絡攻擊」,但強調產品、業務運作及生產線未受影響。公司表示,一旦發現異常,立即聯同外部網絡安全公司展開調查與應對。根據 Logitech 披露,遭竊資料可能包括員工與消費者的有限資訊,以及客戶與供應商相關資料。該公司認為敏感資訊(如身份證號碼及信用卡資料)未有遭入侵,因為這類數據並未儲存在受影響系統中。 是次攻擊源於第三方軟件的零日漏洞,並在修補程式釋出後立即完成更新,Logitech 雖未公開軟件供應商名稱,但業界普遍認為,此次事件與 Oracle E-Business…
人工智能(AI)應用呈現爆炸式增長,短短數年間已覆蓋香港不同行業,包括金融、醫療及零售。然而,AI 帶來多種新興威脅,傳統安全工具或無法一一處理,企業應該如何是好?小編整合了企業因 AI 應用而面臨的挑戰,並請來 Akamai 高級解決方案經理 James Ma,一一為大家解答! Q1.在 AI 落地的過程中,企業最擔心的挑戰及風險是什麽? 根據 Forrester 2025 年的一項調查顯示,63% 的企業將安全風險列為頭號挑戰,55% 的企業認為現有的基礎設施,無法支撐大規模推理或 RAG 檢索,亦未有統一的數據管理體系,面臨技術平台的缺口。 此外,有…
近來黑客集團 ShinyHunters、Scattered Spider 頻頻出現於網絡攻擊新聞中,他們針對數百間企業進行一系列的數據竊取及勒索攻擊,受害機構包括 Google、Cisco、Disney/Hulu、Toyota、UPS、Chanel 等知名品牌。最近這批黑客終於展開大型勒索行動,於網上公開至少 39 間企業的敏感數據,除了威脅受害機構支付贖金,黑客甚至要求 Salesforce 為過失負責找數,以防止約 10 億條個人數據被進一步曝光。 專家警告,這次攻擊可能導致身份盜竊、詐騙及法律訴訟等連鎖反應,對受害企業及其客戶來說是一場大災難。 想知最新科技新聞?立即免費訂閱! 已成功入侵 760 間公司 這次攻擊行動由三大黑客集團 ShinyHunters、Scattered Spider…
近年 AI 應用技術推陳出新,從日常工作的簡單任務,以至複雜數據的高速分析,都為企業帶來嶄新的營運可能性。不過,不少企業在如何平衡人力資源和 AI 運用中都遇到瓶頸。中信國際電訊 CPC(下稱「CPC」)早前舉辦的「TrustCSITM SIEM-MiiND 星智神盾搶先看活動」,邀請了 5 位 CPC 的星盾專家探討人與 AI 的協作模式,並於會上展示新一代人工智能安全信息與事件管理(SIEM)技術 「星智神盾(TrustCSITM SIEM-MiiND)」,結合中信國際電訊 CPC 二十多年的行業經驗與人工智能的能力,打造出全方位且高效的人工智能安全運作中心(AI SOC)。 在分享環節上,由中信國際電訊…
Salesforce 攻擊潮的受害者再添一員!Google 日前確認用於與潛在 Google Ads 廣告客戶交流的 Salesforce CRM 平台遭入侵,導致資料外洩,涉及超過 250 萬筆潛在客戶的基本資料。發動是次攻擊潮的黑客組織,更向 Google 勒索 20 枚比特幣(約 230 萬美元)。 想知最新科技新聞?立即免費訂閱! 無洩漏客戶付款資訊 根據…