工信部这次真的有话说,“龙虾”这东西大家注意了。工业和信息化部把“龙虾”开源智能体的安全风险搞了个“六要六不要”建议。这事儿主要针对大家用这个智能体时可能遇到的问题。NVDB平台的小伙伴们,还有那些提供智能体的、漏洞收集的、搞网络安全的,大家一起商量了一下,给出了六个关键点。 第一个就是版本问题,一定要用官方最新版,从正规渠道下载,最好打开自动更新提醒。升级前记得备份数据,升级完重启一下,确认补丁起作用。千万不要用第三方镜像或者旧版本。 第二个是互联网暴露面,要定期检查自己是不是被暴露在网上了。如果被发现了,赶紧下线整改。别把这个智能体直接暴露在公网上,确实需要上网访问的,可以用SSH这些加密通道来连接。还要限制访问源地址,用强密码或者证书、硬件密钥来验证身份。 第三个是权限管理,一定要遵守最小权限原则。只给完成任务必要的权限就行,别给太多。像删除文件、发送数据这种重要操作,最好再二次确认或者人工审批一下。能把它放在容器或者虚拟机里隔离运行最好了。 第五个是防止社会工程学攻击和浏览器劫持。浏览器里装上沙箱和网页过滤器扩展就行,遇到可疑脚本就挡住。把日志审计功能打开着,要是发现可疑行为赶紧断开网关并重置密码。 第六个是建立长效防护机制。要定期修补漏洞,多看看OpenClaw官方发的安全公告还有NVDB的预警信息。党政机关、企业和个人用户可以用杀毒软件实时防护一下,别把详细的日志审计功能给关了。