近日,工業和信息化部網絡安全威脅和漏洞信息共享平臺(NVDB)針對OpenClaw(“龍蝦”)開源智能體的安全風險,聯合智能體提供商、漏洞收集平臺及網絡安全企業,共同制定并發布了“六要六不要”安全防護建議,旨在幫助用戶有效應對潛在威脅。
在軟件版本管理方面,建議明確要求用戶必須通過官方渠道獲取最新穩定版本,并開啟自動更新提醒功能。升級前需備份關鍵數據,升級后重啟服務并驗證補丁是否生效,同時嚴禁使用第三方鏡像或歷史版本,以避免引入未知漏洞。
針對網絡暴露風險,建議強調需定期自查“龍蝦”智能體實例的互聯網暴露情況,發現后應立即下線整改。若確需互聯網訪問,必須通過SSH等加密通道,并嚴格限制訪問源地址,同時采用強密碼、證書或硬件密鑰等多因素認證方式,杜絕直接暴露于公網環境。
權限控制方面,建議提出應遵循最小權限原則,僅授予業務必需的最低權限,并對刪除文件、發送數據等敏感操作實施二次確認或人工審批。推薦在容器或虛擬機中隔離運行,形成獨立權限區域,并明確禁止使用管理員權限賬號進行部署。
對于技能市場使用,建議提醒用戶需謹慎下載ClawHub“技能包”,安裝前必須審查代碼完整性。特別強調應拒絕使用要求“下載ZIP”“執行shell腳本”或“輸入密碼”的技能包,以防惡意代碼注入或數據泄露。
在防范社會工程學攻擊方面,建議要求用戶啟用瀏覽器沙箱、網頁過濾器等工具阻止可疑腳本執行,并開啟日志審計功能。一旦發現可疑行為,應立即斷開網絡連接并重置密碼,同時避免瀏覽不明網站、點擊陌生鏈接或讀取不可信文檔。
最后,建議強調需建立長效防護機制,包括定期檢查并修補漏洞、關注官方安全公告及NVDB等漏洞庫的風險預警。黨政機關、企事業單位和個人用戶可結合網絡安全防護工具及主流殺毒軟件進行實時監控,并確保詳細日志審計功能始終處于啟用狀態,以便及時追溯安全事件。
