工业和信息化部发话了,给大伙儿提了个醒,让大家注意OpenClaw这种开源智能体(也叫“龙虾”)带来的安全风险。 具体来说,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)把这事儿认真研究了一番,召集了一堆人,像智能体供应商、漏洞平台运营方还有搞网络安全的公司一块儿聊。最后琢磨出了一个“六要六不要”的建议清单,专门针对“龙虾”在不同场景下可能出现的问题。 第一条是得认准官方渠道下载最新版本,把自动更新提示给开开;升级之前先把数据备份好,升完级还要重启服务看看补丁到底管不管用。千万别用那些乱七八糟的第三方镜像或者老版本。 第二条是必须把互联网暴露面控制得死死的,定期自己查查有没有东西没关好漏出去了,只要发现立马下线整改。别傻乎乎地把“龙虾”智能体实例直接扔到网上让人随便访问。要是实在没办法非得连外网,那就用SSH这种加密通道,还得把访问的地址限制一下,最好用强密码或者证书、硬件密钥来认证。 第三条得遵守最小权限原则,给任务只配干活儿必须的权力就行。删除文件、发数据、改系统配置这种大事儿必须再确认一遍或者人工过目一下。要是可能的话尽量在容器或者虚拟机里跑,弄个独立的权限区出来。别部署的时候顺手用了管理员权限账号。 第四条是买技能包得小心点,别到了ClawHub上随便乱下。装之前一定要先看看代码里头到底有啥猫腻。千万别点那种要你下载ZIP、跑shell脚本或者输入密码的技能包。 第五条是要防着社会工程学攻击和浏览器劫持。在浏览器上装个沙箱、加个网页过滤器挡住那些可疑的脚本;开着日志审计功能盯着点动静,要是发现不对劲立刻断网并把密码给重置了。千万别瞎逛来路不明的网站、乱点陌生链接、乱读不可信的文档。 第六条是要建立一套长期管用的防护机制。定期检查修补漏洞别落下,随时留意OpenClaw官方的安全通告还有NVDB发布的预警信息。党政机关、企事业单位和个人用户可以用网络安全工具和杀毒软件实时盯着屏幕,一有风险赶紧处理掉。别偷懒把详细日志审计功能给关了。