3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台发布了关于防范OpenClaw(“龙虾”)开源智能体安全风险的“六要六不要”建议。针对“龙虾”在典型应用场景中存在的安全隐患,工信部网络安全威胁和漏洞信息共享平台(NVDB)组织智能体提供商、漏洞收集平台运营单位及网络安全企业共同研究,提出了这项具有实操价值的防护指南。
(一)坚持使用官方版本。建议通过官方渠道获取最新稳定版本,并开启自动更新提醒功能。升级前务必做好数据备份,升级后重启服务并验证补丁有效性。避免使用第三方镜像版本或历史遗留版本。
(二)严格管控互联网暴露面。需定期自查是否存在互联网暴露情况,发现问题立即下线整改。切勿将智能体实例直接暴露于公网,确需互联网访问时应采用SSH等加密通道,并限制访问源地址,配合强密码、证书或硬件密钥等认证机制。
(三)贯彻最小权限原则。根据业务需求授予完成必需任务的最小权限,对文件删除、数据发送、系统配置修改等敏感操作实施二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限域。部署阶段避免直接使用管理员权限账户。
(四)审慎使用技能市场。下载ClawHub技能包前需仔细核查代码安全性,建议在隔离环境进行测试验证。警惕要求“下载ZIP压缩包”、“执行shell脚本”或“输入密码”的可疑技能包。
(五)防范社会工程学攻击与浏览器劫持。推荐使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能。遇到异常行为应立即断开网络连接并重置认证凭证。避免访问来源不明的网页链接,不点击陌生弹窗,不阅读不可信文档。
(六)建立长效防护机制。需定期检查并修补安全漏洞,及时关注OpenClaw最新安全公告、工信部网络安全威胁和漏洞信息共享平台等权威渠道发布的风险预警。党政机关、企事业单位和个人用户可结合网络安全防护工具与主流杀毒软件实施实时防护,及时处置潜在安全威胁。切勿关闭详细日志审计功能。
