近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)针对OpenClaw(“龙虾”)开源智能体的安全风险,联合智能体提供商、漏洞收集平台及网络安全企业,共同制定并发布了“六要六不要”安全防护建议,旨在帮助用户有效应对潜在威胁。
在软件版本管理方面,建议明确要求用户必须通过官方渠道获取最新稳定版本,并开启自动更新提醒功能。升级前需备份关键数据,升级后重启服务并验证补丁是否生效,同时严禁使用第三方镜像或历史版本,以避免引入未知漏洞。
针对网络暴露风险,建议强调需定期自查“龙虾”智能体实例的互联网暴露情况,发现后应立即下线整改。若确需互联网访问,必须通过SSH等加密通道,并严格限制访问源地址,同时采用强密码、证书或硬件密钥等多因素认证方式,杜绝直接暴露于公网环境。
权限控制方面,建议提出应遵循最小权限原则,仅授予业务必需的最低权限,并对删除文件、发送数据等敏感操作实施二次确认或人工审批。推荐在容器或虚拟机中隔离运行,形成独立权限区域,并明确禁止使用管理员权限账号进行部署。
对于技能市场使用,建议提醒用户需谨慎下载ClawHub“技能包”,安装前必须审查代码完整性。特别强调应拒绝使用要求“下载ZIP”“执行shell脚本”或“输入密码”的技能包,以防恶意代码注入或数据泄露。
在防范社会工程学攻击方面,建议要求用户启用浏览器沙箱、网页过滤器等工具阻止可疑脚本执行,并开启日志审计功能。一旦发现可疑行为,应立即断开网络连接并重置密码,同时避免浏览不明网站、点击陌生链接或读取不可信文档。
最后,建议强调需建立长效防护机制,包括定期检查并修补漏洞、关注官方安全公告及NVDB等漏洞库的风险预警。党政机关、企事业单位和个人用户可结合网络安全防护工具及主流杀毒软件进行实时监控,并确保详细日志审计功能始终处于启用状态,以便及时追溯安全事件。
