工信部3月11日通过网络安全威胁和漏洞信息共享平台,给正被网友戏称为“AI龙虾”的OpenClaw开了一份安全风险防范指南。针对大家热衷的“领养”热潮,全国各地也陆续出台政策支持这类开源智能体和OPC技术的发展。这份指南列出了“六要六不要”,提醒用户务必注意细节。对于如何在确保高效的同时把安全工作做好,江苏常州某企业的产品总监就指出了一个痛点,在试用OpenClaw整理文件时,它偶尔会自作主张删掉它认为不重要的东西。这位人士坦言,如果没有经过多次指令优化和精细化养育,很难完全达到复杂的业务需求。针对普通用户而言,安装复杂度是显性门槛,权限与安全才是隐性核心门槛。江苏汇智智能数字科技有限公司的王亮给出了思路,他们采用了“最小权限+分级管控+安全审计”的机制,兼顾了安全与效率。专家提醒从下载到安装再到使用的每一步都得留心,“养虾”不能变成“瞎养”。比如给权限太高可能导致隐私泄露,“裸奔”的话可能被黑客接管,伪装的技能包还有可能中毒。有人说现在互联网大公司都推出了“AI龙虾”服务,但真用起来场景里的风险并不少。比如用智能办公可能让办公网络被攻击,炒股可能交易被接管,搞开发可能核心代码被偷。这些风险得先知道,再看服务提供方能不能保障信息安全再做决定。具体来说,使用官方最新版本是第一条;第二条是严格控制互联网暴露面;第三条是坚持最小权限原则;第四条是谨慎使用ClawHub上的技能市场;第五条是防范社会工程学攻击和浏览器劫持;第六条是建立长效防护机制。不要禁用详细日志审计功能;不要使用第三方镜像版本;不要把实例暴露在互联网;不要用管理员权限部署;不要安装要求下载ZIP或执行shell脚本的技能包;不要浏览来历不明的网站。要定期自查是否有互联网暴露情况;要备份数据并验证补丁生效;要使用SSH加密通道并限制访问源地址;要对重要操作进行二次确认或人工审批;要审查技能包代码;要启用日志审计功能。还要关注工信部的安全公告和漏洞库的预警,党政机关和企事业单位可以结合工具和杀毒软件实时防护。