咱们说说关于防范“龙虾”这个开源智能体风险的事儿,工业和信息化部搞了个NVDB,专门收集网络安全的威胁和漏洞信息。这一回,NVDB把智能体提供商、漏洞收集平台和安全企业都拉到一块,针对这个叫“OpenClaw”的智能体的风险,研究了一套“六要六不要”的建议。第一条就是要把官方最新版本下回来,用最新稳定版,而且别忘开个自动提醒更新。升级之前先把数据备份一下,升级完了重启服务再看看补丁是不是真管用。千万别搞那些第三方镜像版本或者历史版本。第二条是要严盯着互联网暴露面。定期自己查一查有没有东西暴露在外面,要是发现有立马下线整改。别让“龙虾”实例直接对着互联网敞开大门,非得让外面访问的话,也得用SSH这类加密通道给包起来,再把能访问的源地址给限死。最好用强密码、证书或者硬件密钥这种靠谱的方式来验证身份。第三条是坚持最小权限原则。给这个智能体授权的时候,只给它干活儿必需的最小权限就行。碰到删文件、发数据或者改系统配置这种大事儿,一定要二次确认或者找人审批一下。最好能把它关在容器或者虚拟机里,弄个独立的小圈子出来。千万别在部署的时候图省事用管理员权限账号去干这些活儿。 第五条是别放松警惕社会工程学攻击和浏览器劫持的事儿。给浏览器装个沙箱或者网页过滤器这种扩展工具来挡住那些可疑的脚本,把日志审计功能给开起来。要是遇到什么可疑的操作,立马断开网关并重置密码。少去浏览那些不知道底细的网站,也别去点那些陌生的链接或者读取不可信的文档。第六条是得建立个长效的防护机制。定期去查漏洞修补漏洞,多关注“龙虾”官方的安全公告还有NVDB的风险预警。机关单位和个人都可以结合网络安全防护工具、主流杀毒软件来实时防护一下,及时把可能的风险给搞定。别把详细的日志审计功能给禁用了。