工业和信息化部搞了个“六要六不要”,就是为了防“龙虾”,也就是OpenClaw那种智能体出事。最近NVDB平台找了很多供应商、漏洞平台还有安全公司,一块制定了个防护指南。照着这指南走,用户最要紧的是从官方渠道拿最新版的OpenClaw,还得把自动更新给开了。在升级系统前,先把关键数据全备份好,升级完了记得重启服务,再确认补丁到底有没有生效。NVDB特别提醒大伙儿,千万别用第三方镜像或者老版本,这样很容易中招。 互联网这块的暴露面得管起来,定期查查看智能体是不是直接挂在公网上。要是查到暴露了,赶紧把服务停了整改。非要用互联网访问的话,最好走SSH加密通道,严格限制定谁能进来,密码、证书这些能多上就多上。权限这块也要管严点,“龙虾”只要干活的权限就行,删掉文件、改系统配置这些事儿都得先确认一遍或者让人工审批一下。最好是用容器或者虚拟机把“龙虾”隔离开来,坚决不能让管理员账户直接去部署程序。 对于ClawHub上那些“技能包”,下载的时候一定要小心。先看源代码对不对得上,尤其是那种让你下ZIP压缩包、跑Shell脚本或者要你输密码的技能包,这种东西多半藏着后门或者恶意代码。防社会工程学的活儿也不能马虎,开个浏览器沙箱、装个网页过滤器把可疑脚本拦住。系统日志也得开着盯着异常操作。万一发现不对劲立马断网重设密码,别去点那些来历不明的链接或者文档。 以后还得搞个定期扫描漏洞的制度,随时看OpenClaw官方发的公告和NVDB平台的预警。党政机关、企业个人都能配合着用点杀毒软件建个多层防护网,把日志审计功能一直开着,出了事好查个水落石出。