工信部NVDB发布龙虾应用安全指南:六要六不要规避风险
智通财经APP获悉。3月11日,针对“龙蜥”典型应用场景下的安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议。建议包括使用官方版本;严格控制互联网暴露面;坚持最小权限原则;谨慎使用技能市场;防范社会工程学攻击和浏览器劫持;建立长效防护机制。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一、典型应用场景安全风险
(一)智能办公场景主要存在供应链攻击和企业内网渗透的突出风险
1.场景描述:通过在企业内部部署“龙蜥”,对接企业已有管理系统,实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理等。
2.安全风险:引入异常插件、“技能包”等引发供应链攻击;网络安全风险在内网横向扩散,引发已对接的系统平台、数据库等敏感信息泄露或丢失;缺乏审计和追溯机制情况下易引发合规风险。
3.应对策略:独立网段部署,与关键生产环境隔离运行,禁止在内部网络使用未审批的“龙蜥”智能体终端;部署前进行充分安全测试,部署时采取最小化权限授予,禁止非必要的跨网段、跨设备、跨系统访问;留存完整操作和运行日志,确保满足审计等合规要求。
(二)开发运维场景主要存在系统设备敏感信息泄露和被劫持控制的突出风险
1.场景描述:通过企业或个人部署“龙蜥”,将自然语言转化为可执行指令,辅助进行代码编写、代码运行、设备巡检、配置备份、系统监控、管理进程等。
2.安全风险:非授权执行系统命令,设备遭网络攻击劫持;系统账号和端口信息暴露,遭受外部攻击或口令爆破;网络拓扑、账户口令、API接口等敏感信息泄露。
3.应对策略:避免生产环境直接部署使用,优先在虚拟机或沙箱中运行;部署前进行充分安全测试,部署时采取最小化权限授予,禁止授予管理员权限;建立高危命令黑名单,重要操作启用人工审批机制。
(三)个人助手场景主要存在个人信息被窃和敏感信息泄露的突出风险
1.场景描述:通过个人即时通讯软件等远程接入本地化部署的“龙蜥”,提供个人信息管理、日常事务处理、数字资产整理等,并可作为知识学习和生活娱乐助手。
2.安全风险:权限过高导致恶意读写、删除任意文件;互联网接入情况下遭受网络攻击入侵;通过提示词注入误执行危险命令,甚至接管智能体;明文存储密钥等导致个人信息泄露或被窃取。
3.应对策略:加强权限管理,仅允许访问必要目录,禁止访问敏感目录;优先通过加密通道接入,禁止非必要互联网访问,禁止高危操作指令或增加二次确认;严格通过加密方式存储API密钥、配置文件、个人重要信息等。
(四)金融交易场景主要存在引发错误交易甚至账户被接管的突出风险
1.场景描述:通过企业或个人部署“龙蜥”,调用金融相关应用接口,进行自动化交易与风险控制,提高量化交易、智能投研及资产组合管理效率,实现市场数据抓取、策略分析、交易指令执行等功能。
2.安全风险:记忆投毒导致错误交易,身份认证绕过导致账户被非法接管;引入包含恶意代码的插件导致交易凭证被窃取;极端情况下因缺乏熔断或应急机制,导致智能体失控频繁下单等风险。
3.应对策略:实施网络隔离与最小权限,关闭非必要互联网端口;建立人工复核和熔断应急机制,关键操作增加二次确认;强化供应链审核,使用最新组件并定期修复漏洞;落实全链路审计与安全监测,及时发现并处置安全风险。
二、安全使用建议
(一)使用官方版本。要从最新渠道下载最稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。
(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙蜥”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。
(三)坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。
(四)谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。
(五)防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的、点击陌生的网页链接、读取不可信文档。
(六)建立长效防护机制。要定期检查并修补漏洞,及时关注OpenClaw最新安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。不要禁用详细日志审计功能。
相关攻略
多地出台政策支持开源AI工具OpenClaw及OPC模式发展。深圳龙岗区推出“龙虾十条”,提供最高千万元补贴;无锡高新区发布12条措施,给予算力补贴和数据支持;常熟市推出13条举措,聚焦垂直领域应用并提供创业生活补贴。各地政策涵盖资金、算力、数据及人才等多方面支持。
360新一代安全大模型正式发布,标志着AI应用进入深度协同新阶段。5月13日,360不仅推出了新一代安全大模型,更同步上线了核心功能“大模型教练”。该系统被定义为运行于安全底座之上的“AI专家团操作系统”,现已全面支持PC、Mac、安卓及iOS平台,用户可即刻下载体验。 区别于传统的单点对话工具,新
全球大模型社区的竞争格局近期出现显著变化。5月9日至12日,开源AI智能体框架Hermes Agent(业内昵称“爱马仕”),在OpenRouter平台的智能体调用量排行榜上连续三天超越此前长期领先的OpenClaw(俗称“龙虾”),引发广泛关注。 这场“爱马仕”与“龙虾”的榜首之争,标志着新一轮“
一、官方 & 完全免费服务商(核心) 1 OpenClaw 开源本体(GitHub) 说到免费,开源社区的力量从来不容小觑。OpenClaw的开源项目,绝对可以称得上是技术自力更生的首选。它的开源内容一应俱全,从核心框架下载、安装指南,到本地部署和一键运行的基础自动化脚本,都为你准备好了。文件操作
1:绕不开的基础依赖:Git 很多朋友在兴致勃勃地准备体验新工具时,第一步就容易被拦下。比如,在确认Node环境正常后,执行安装命令却碰了壁。 C: Users Administrator>npm install -g openclaw@latest npm error code ENOENT np
热门专题
热门推荐
特斯拉2025财年为首席执行官马斯克支付的个人安保费用达480万美元,较前一年增长71%。今年头两月支出同比激增超160%。该费用仅为其安保开支一部分,其名下其他企业也分担相关成本。费用增长源于投资者呼吁及本人确认的必要性,其日常安保规格极高,常由约20名保镖及医护人员随行。
HatchyPocket是融合DeFi与NFT的链上游戏平台,其代币HATCHY用于支付、治理与激励。玩家可孵化收集虚拟宠物,资产基于区块链。获取免费空投需关注官方社交渠道、参与测试网活动或贡献社区内容,但需注意安全防范与数量限制。该项目展现了游戏与区块链结合的新模式。
京东启动大规模数据采集计划,依托数十万员工与线下业务网络,在真实服务场景中采集超千万小时视频数据,构建高质量具身智能训练数据集。此举旨在破解物理AI落地的数据瓶颈,将日常履约场景转化为数据源头,为机器人从实验室走向现实提供关键支撑。
还在为《无期迷途》受枷者关卡发愁?小兵无视阻挡快速推进,BOSS物理抗性极高,防线频频失守?别担心,本文将为你详细解析三套高适配阵容攻略,助你轻松通关。即便是零氪、微氪玩家,也能稳定获取24万高分奖励! 法系速杀流:开局秒核,一击制胜 应对受枷者关卡,两大核心难点在于:无视阻挡的杂兵推进速度极快,而
握紧你的武器,指挥官!Vor的战利品之门已经开启——这不仅仅是一个新手任务,更是你蜕变为一名真正Tenno战士的震撼序章。无需担心经验不足,本关卡专为初入《星际战甲》宇宙的你设计,全程由引导者Lotus亲自指引。浩瀚的星际战甲世界,此刻正式为你拉开帷幕! 核心操作精通:位移如风,攻防一体 任务开始,