工信部NVDB发布龙虾应用安全指南:六要六不要规避风险
智通财经APP获悉。3月11日,针对“龙蜥”典型应用场景下的安全风险,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位、网络安全企业等,研究提出“六要六不要”建议。建议包括使用官方版本;严格控制互联网暴露面;坚持最小权限原则;谨慎使用技能市场;防范社会工程学攻击和浏览器劫持;建立长效防护机制。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
一、典型应用场景安全风险
(一)智能办公场景主要存在供应链攻击和企业内网渗透的突出风险
1.场景描述:通过在企业内部部署“龙蜥”,对接企业已有管理系统,实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理等。
2.安全风险:引入异常插件、“技能包”等引发供应链攻击;网络安全风险在内网横向扩散,引发已对接的系统平台、数据库等敏感信息泄露或丢失;缺乏审计和追溯机制情况下易引发合规风险。
3.应对策略:独立网段部署,与关键生产环境隔离运行,禁止在内部网络使用未审批的“龙蜥”智能体终端;部署前进行充分安全测试,部署时采取最小化权限授予,禁止非必要的跨网段、跨设备、跨系统访问;留存完整操作和运行日志,确保满足审计等合规要求。
(二)开发运维场景主要存在系统设备敏感信息泄露和被劫持控制的突出风险
1.场景描述:通过企业或个人部署“龙蜥”,将自然语言转化为可执行指令,辅助进行代码编写、代码运行、设备巡检、配置备份、系统监控、管理进程等。
2.安全风险:非授权执行系统命令,设备遭网络攻击劫持;系统账号和端口信息暴露,遭受外部攻击或口令爆破;网络拓扑、账户口令、API接口等敏感信息泄露。
3.应对策略:避免生产环境直接部署使用,优先在虚拟机或沙箱中运行;部署前进行充分安全测试,部署时采取最小化权限授予,禁止授予管理员权限;建立高危命令黑名单,重要操作启用人工审批机制。
(三)个人助手场景主要存在个人信息被窃和敏感信息泄露的突出风险
1.场景描述:通过个人即时通讯软件等远程接入本地化部署的“龙蜥”,提供个人信息管理、日常事务处理、数字资产整理等,并可作为知识学习和生活娱乐助手。
2.安全风险:权限过高导致恶意读写、删除任意文件;互联网接入情况下遭受网络攻击入侵;通过提示词注入误执行危险命令,甚至接管智能体;明文存储密钥等导致个人信息泄露或被窃取。
3.应对策略:加强权限管理,仅允许访问必要目录,禁止访问敏感目录;优先通过加密通道接入,禁止非必要互联网访问,禁止高危操作指令或增加二次确认;严格通过加密方式存储API密钥、配置文件、个人重要信息等。
(四)金融交易场景主要存在引发错误交易甚至账户被接管的突出风险
1.场景描述:通过企业或个人部署“龙蜥”,调用金融相关应用接口,进行自动化交易与风险控制,提高量化交易、智能投研及资产组合管理效率,实现市场数据抓取、策略分析、交易指令执行等功能。
2.安全风险:记忆投毒导致错误交易,身份认证绕过导致账户被非法接管;引入包含恶意代码的插件导致交易凭证被窃取;极端情况下因缺乏熔断或应急机制,导致智能体失控频繁下单等风险。
3.应对策略:实施网络隔离与最小权限,关闭非必要互联网端口;建立人工复核和熔断应急机制,关键操作增加二次确认;强化供应链审核,使用最新组件并定期修复漏洞;落实全链路审计与安全监测,及时发现并处置安全风险。
二、安全使用建议
(一)使用官方版本。要从最新渠道下载最稳定版本,并开启自动更新提醒;在升级前备份数据,升级后重启服务并验证补丁是否生效。不要使用第三方镜像版本或历史版本。
(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不要将“龙蜥”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。
(三)坚持最小权限原则。要根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。不要在部署时使用管理员权限账号。
(四)谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查技能包代码。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。
(五)防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的、点击陌生的网页链接、读取不可信文档。
(六)建立长效防护机制。要定期检查并修补漏洞,及时关注OpenClaw最新安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。不要禁用详细日志审计功能。
相关攻略
来源:人民日报客户端走红的“龙虾”(OpenClaw)打开了智能体的想象空间;巨量的词元(Token)反映着AI产业规模快速扩张……3月27日,在2026中关村论坛人工智能主题日,月之暗面创始人杨植
智东西作者 程茜编辑 李水青智东西3月27日报道,今日,在腾讯云上海城市峰会期间,腾讯云AI智能体产品总监黄广民接受了智东西等媒体的采访。他在采访中透露了智能体工具CodeBuddy、WorkBud
出品|虎嗅科技组作者|宋思杭编辑|苗正卿头图|中关村论坛现场上一次智谱AI与月之暗面同台,还是在1月10日。那天是智谱通过港交所聆讯后的第三天,一个周六,在中关村国际创新中心举行了一场名为AGI-N
作者 | 虎嗅 AI 硬件社群组头图 | AI过去一个月,OpenClaw(业内戏称 “龙虾”)经历了一场前所未有的情绪过山车:从极客小圈的低调试水,到全民刷屏、上门安装的狂欢,再到批量卸载、冷静反
证券时报记者 韩忠楠“其实我最开始使用OpenClaw(俗称‘龙虾’)的时候,并不太适应。”无问芯穹联合创始人兼CEO夏立雪的回答,让2026中关村论坛年会AI开源前沿论坛的现场响起会心笑声。3月2
热门专题
热门推荐
在明日方舟终末地中,小陈剧情的开启需要满足一定条件并完成特定任务。首先,要确保玩家已经达到一定的游戏进度。这包括推进主线剧情到一定阶段,解锁了相应的区域和功能。随着主线剧情的推进,
前言《逐玉》大结局落幕那晚,我盯着屏幕良久,胸口像压了块浸水的棉絮,沉闷得喘不过气。从首播时满怀热望地守在更新页面,到中期边看边叹气、反复暂停找逻辑漏洞,再到最后几集干脆调成倍速、只为“完成任务”式
3月28日消息 据新华社报道,俄罗斯政府日前宣布了一项重要的能源指令。俄副总理亚历山大·诺瓦克已指示能源部起草行政命令,计划从4月1日起全面禁止汽油出口。此举的核心目的是在中东战事引发全球能源市场动
蓝海搜书最新可用网址是https: www lanhaizw com ,平台具备极简无广告界面、全球CDN加速、三类自适应阅读模式、四重语义检索、27个细分分类、跨设备同步及离线
在网络信息爆炸的时代,一款好用的浏览器能为我们带来便捷与丰富的体验。悟空浏览器网页版正式版入口,成为众多用户探索网络精彩的关键通道。悟空浏览器以其简洁界面和强大功能吸引着广大用户。