工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)近日针对OpenClaw(“龙虾”)开源智能体的安全风险,联合智能体提供商、漏洞收集平台运营单位及网络安全企业,共同制定并发布了“六要六不要”安全防护建议,旨在帮助用户有效应对潜在的网络威胁。
在版本使用方面,建议强调用户应通过官方渠道获取最新稳定版本,并开启自动更新提醒功能。升级前需备份关键数据,升级后重启服务并验证补丁效果,避免使用第三方镜像或历史版本,以减少安全漏洞风险。
针对互联网暴露问题,建议要求用户定期自查“龙虾”智能体实例的暴露情况,发现后立即整改。若确需互联网访问,应通过SSH等加密通道进行,并严格限制访问源地址,采用强密码、证书或硬件密钥等认证方式,防止未经授权的访问。
权限管理方面,建议遵循最小权限原则,仅授予业务必需的最小权限,对删除文件、发送数据等敏感操作实施二次确认或人工审批。同时,优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域,避免使用管理员权限账号进行部署。
在技能市场使用方面,建议提醒用户审慎下载ClawHub“技能包”,并在安装前仔细审查代码。对于要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包,应坚决避免使用,以防恶意代码入侵。
为防范社会工程学攻击和浏览器劫持,建议用户使用浏览器沙箱、网页过滤器等工具阻止可疑脚本,启用日志审计功能,及时发现并处理异常行为。同时,避免浏览来历不明的网站、点击陌生链接或读取不可信文档,以降低被攻击的风险。
最后,建议强调建立长效防护机制的重要性。用户应定期检查并修补漏洞,关注OpenClaw官方安全公告及NVDB等漏洞库的风险预警。党政机关、企事业单位和个人用户可结合网络安全防护工具和主流杀毒软件进行实时防护,确保详细日志审计功能处于启用状态,以便及时处置潜在的安全风险。
