最近,大家都在关注“龙虾”这个开源智能体,不过在使用的时候,到底该怎么搞呢?工业和信息化部就在3月11日给大伙儿出了一份“六要六不要”的指南。这份指南是通过NVDB这个平台发布的,目的是为了帮大家在碰到OpenClaw(也就是“龙虾”)的时候,避免踩坑。他们联合了好几个做智能体的公司、漏洞平台和网络安全企业一起商量出来的。 具体到操作上,首先是要从官方渠道去下载最新的稳定版本,开着自动更新提示,升级前记得备份数据,升级完了要重启服务看看补丁有没有生效。千万别去用那些第三方镜像或者是老版本的软件。 然后就是要管好互联网的开放面。自己得定期查一下有没有把“龙虾”暴露在网上,要是有赶紧下线修修补补。除非有特别必要,不然千万别把这个智能体直接扔到互联网上。要是真得让它上网访问,得用SSH这种加密通道,而且还要把访问的地址限制住,用强密码或者证书、硬件密钥来验证身份。 第三个重点是权限管理。只给它干活必需的最小权限就行了,遇到像删文件、发数据、改系统配置这种大事,最好得让用户确认一下或者走人工审批流程。最好把它放在容器或者虚拟机里隔离开来运行,形成一个单独的权限空间。部署的时候千万别用管理员账号去操作。 第四个是关于技能市场的问题。在ClawHub里下载“技能包”的时候得小心点,在安装前一定要看看代码里有没有问题。那些要求“下载ZIP”、“执行shell脚本”或者让你“输入密码”的技能包坚决别碰。 第五个是要防着社会工程学攻击还有浏览器劫持这类情况。可以装个浏览器沙箱或者网页过滤器来阻止可疑脚本的运行,把日志审计功能开起来盯着点,一旦发现不对劲赶紧断开网关重置密码。那种来路不明的网站千万别点进去看。 最后一点是建立一个长期的防护机制。定期检查修补漏洞是必须的动作,还得盯着OpenClaw官方的安全公告还有工业和信息化部的漏洞库的预警信息。无论是党政机关还是普通个人用户都可以用主流杀毒软件或者防护工具做实时防护。 总之就是别偷懒禁用详细日志审计功能了。