工信部发布OpenClaw安全防范指南:六要六不要原则
3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台发布了一份旨在防范OpenClaw(俗称"龙蜥")开源智能体安全风险的使用建议,提出了"六要六不要"的核心原则。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
针对"龙蜥"在典型应用场景下可能引发的安全风险,该平台联合智能体提供商、漏洞收集平台运营单位、网络安全企业等,共同研究并形成了这份具体指导建议。
主要内容如下:
一、典型应用场景下的安全风险
(一)智能办公场景主要面临供应链攻击和企业内网渗透的突出风险
1. 场景描述:在企业内部署"龙蜥"智能体,将其与现有管理系统对接,可实现智能化数据分析、文档处理、行政管理、财务辅助和知识管理等功能。
2. 安全风险:引入异常插件或"技能包"可能引发供应链攻击;安全风险在内网横向扩散,导致已对接的系统平台、数据库等敏感信息泄露或丢失;在缺乏审计和追踪机制的情况下,容易引发合规风险。
3. 应对策略:建议在独立网段部署,并与关键生产环境隔离运行,禁止在内网使用未经审批的"龙蜥"智能体终端;部署前应进行充分的安全测试,部署时采取最小化权限授予,禁止非必要的跨网段、跨设备、跨系统访问;必须留存完整的操作和运行日志,确保满足审计等合规要求。
(二)开发运维场景主要存在系统设备敏感信息泄露和被劫持控制的突出风险
1. 场景描述:通过企业或个人部署"龙蜥",将自然语言转化为可执行指令,辅助进行代码编写、代码运行、设备巡检、配置备份、系统监控、管理进程等。
2. 安全风险:存在非授权执行系统命令、设备遭网络攻击劫持的风险;系统账号和端口信息暴露,可能遭受外部攻击或口令爆破;网络拓扑、账户口令、API接口等敏感信息存在泄露隐患。
3. 应对策略:避免在生产环境直接部署使用,优先在虚拟机或沙箱中运行;部署前进行充分安全测试,部署时采取最小化权限授予,禁止授予管理员权限;建议建立高危命令黑名单,并对重要操作启用人工审批机制。
(三)个人助手场景主要存在个人信息被窃和敏感信息泄露的突出风险
1. 场景描述:通过个人即时通讯软件等远程接入本地化部署的"龙蜥",提供个人信息管理、日常事务处理、数字资产整理等功能,并可作为知识学习和生活娱乐助手。
2. 安全风险:权限过高可能导致恶意读写、删除任意文件;在接入互联网的情况下可能遭受网络攻击入侵;通过提示词注入误执行危险命令,甚至接管智能体;明文存储密钥等可能导致个人信息泄露或被窃取。
3. 应对策略:加强权限管理,仅允许访问必要目录,禁止访问敏感目录;优先通过加密通道接入,禁止非必要互联网访问,禁止执行高危操作指令或增加二次确认;应严格通过加密方式存储API密钥、配置文件、个人重要信息等。
(四)金融交易场景主要存在引发错误交易甚至账户被接管的突出风险
1. 场景描述:通过企业或个人部署"龙蜥",调用金融相关应用接口,进行自动化交易与风险控制,旨在提升量化交易、智能投研及资产组合管理效率,实现市场数据抓取、策略分析、交易指令执行等功能。
2. 安全风险:记忆投毒可能导致错误交易,身份认证绕过导致账户被非法接管;引入包含恶意代码的插件可能导致交易凭证被窃取;极端情况下因缺乏熔断或应急机制,导致智能体失控频繁下单等风险。
3. 应对策略:实施网络隔离与最小权限,关闭非必要互联网端口;建立人工复核和熔断应急机制,对关键操作增加二次确认;强化供应链审核,使用最新组件并定期修复漏洞;落实全链路审计与安全监测,及时发现并处置安全风险。
二、安全使用建议
(一)务必使用官方版本。请从官方最新渠道下载最稳定的版本,并开启自动更新提醒;升级前备份数据,升级后重启服务并验证补丁是否生效。切勿使用第三方镜像版本或历史版本。
(二)严格控制互联网暴露面。需定期自查是否存在互联网暴露情况,一旦发现立即下线整改。切勿将"龙蜥"智能体实例暴露到互联网,确需互联网访问的应使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。
(三)坚持最小权限原则。请根据业务需要,仅授予完成任务所必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。切勿在部署时使用管理员权限账号。
(四)谨慎使用技能市场。务必从官方市场(ClawHub)审慎下载"技能包",并在安装前审查其代码。切勿使用要求"下载ZIP"、"执行shell脚本"或"输入密码"的技能包。
(五)防范社会工程学攻击和浏览器劫持。请使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。切勿浏览来历不明的页面、点击陌生的网页链接、读取不可信文档。
(六)建立长效防护机制。请定期检查并修补漏洞,及时关注OpenClaw最新安全公告、工业和信息化部网络安全威胁和漏洞信息共享平台等漏洞库的风险预警。
党政机关、企事业单位和个人用户可以结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。切勿禁用详细日志审计功能。
相关攻略
工信部发布“六要六不要”,为OpenClaw(“龙虾”)开源智能体安全风险划出红线 近日,工业和信息化部网络安全威胁和漏洞信息共享平台发布了一份重磅文件,针对当前热门的OpenClaw(因其图标酷似龙虾,业内常昵称为“龙虾”)开源智能体,提出了清晰的安全使用指引——“六要六不要”。这份建议可不是空穴
别再只关注“上门装龙虾赚26万”!深度解读OpenClaw背后的“意图入口”新战争 最近科技行业的热潮,充满了戏剧性的现实色彩。一只“红色龙虾”AI智能体搅动了整个市场:有人通过提供安装服务,收取每次五百元,短短几天就赚取二十六万元收入;腾讯大厦前甚至排起长队,大家竞相领取免费的安装体验权限。这场全
OPPO ColorOS 小布智能体 Claw 首次曝光:超越传统交互,定义开放生态 AI 新体验 3月12日,ColorOS 设计总监陈希通过一段官方视频,正式对外展示了 OPPO 全新 AI 智能体——小布 Claw 的初步形态。他在视频中强调,这款智能助手不仅能够执行常规的系统操作与功能控制,
一、系统要求 在开始安装 OpenClaw 之前,请务必确认您的计算机满足以下最低配置要求。这如同搭建房屋前检查地基,是确保后续安装流程顺利、软件稳定运行的前提。更高的硬件配置将为复杂任务处理和流畅体验提供有力保障。 操作系统:支持 Windows 10 及以上版本、macOS 最新稳定版,以及主流
自研第一个SKILL:手把手教你开发openclaw自定义技能 当你成功构建好openclaw之后,如何让它真正“智能”起来?关键在于为其开发SKILL——这些技能是openclaw的“内功心法”,决定了它能帮你做什么、做多好。 本文将带你亲自动手,从零开始开发你的第一个openclaw自定义技能,
热门专题
热门推荐
《全面战争:中世纪3》:经典延续,如何平衡怀旧与创新? 近期,《全面战争:中世纪3》的项目负责人帕维尔·沃伊斯坦然指出,要打造一款真正优秀的续作,绝不能仅仅依赖对前作模式的简单复刻。这一观点引人深思——尽管《中世纪2:全面战争》至今仍在策略游戏爱好者心中占据着经典地位,但开发团队此次显然决心跳出“照
雷鸟X3 Pro斩获AWE艾普兰创新大奖,开启全民AR生活新篇章 在上海新国际博览中心隆重揭幕的2026年中国家电及消费电子博览会(AWE)上,前沿AI科技与未来生活愿景激情碰撞。全球消费级AR领导品牌雷鸟创新,以其里程碑式的表现,定义了行业发展的新方向。 通过“顶尖硬件科技+顶级文化IP”的双轨战
借力AWE2026“一展双区”,MOVA双区协同、震撼登场 备受瞩目的科技盛会——2026年中国家电及消费电子博览会(AWE),于3月12日至15日在上海盛大举办。本届AWE展会首次创新采用“一展双区”的展览模式,主会场位于上海新国际博览中心,分会场则设于上海东方枢纽国际商务合作区,两大展区高效联动
冰结师技能全解析 踏入2026年,《地下城与勇士》中的冰结师职业,其技能体系已构建得更为成熟与强大。无论是在副本中高效清理海量怪物,还是在决斗场与高手玩家周旋,这个职业都能凭借其独特的冰霜艺术掌控战局。刷图时,酷寒的范围法术可瞬间清屏;而在PVP竞技中,一套将冻结控制与瞬间爆发完美衔接的连招,往往让
iPhone 18 Pro系列模具不变,屏幕形态将与iPhone 17 Pro保持一致 备受期待的屏下Face ID组件小型化设计与灵动岛区域缩窄方案,预计将被推迟至后续迭代机型中正式应用。 近期,关于iPhone 18 Pro系列的技术传闻持续引发行业关注,尤其在显示与解锁设计领域传言甚多。多方消