工业和信息化部给大家发了提醒,让大伙儿注意防范OpenClaw,就是那个叫“龙虾”的开源智能体。它有个网络安全威胁和漏洞信息共享平台NVDB,给大家总结了几条“六要六不要”的建议,是针对“龙虾”在各种实际应用场景下可能带来的安全隐患琢磨出来的。工业和信息化部这边把智能体提供商、漏洞收集平台的运营单位,还有专门搞网络安全的企业都给召集到一块儿,商量着怎么给大伙儿支招。 首先得注意版本问题。建议大家尽量去官网下载最新的稳定版,顺便开个自动更新提醒,升级前最好先备份一下数据,搞完升级再重启一下服务,看补丁有没有真的管用。千万别去碰那些第三方镜像或者旧版本的东西。 接下来是控制暴露面。一定要定期自己检查一下,看看有没有把“龙虾”暴露在互联网上,如果发现了赶紧下线整改。实在没办法非要让别人访问的话,就用SSH这种加密通道来连接,还要限制谁能连过来。认证方面,密码得强一点,或者用证书、硬件密钥这类的手段来做认证。 权限管理上也不能马虎。按照业务需要把必需的最小权限给配好就行,像删文件、发数据、改配置这些重要操作得经过二次确认或者人工审批才行。最好是在容器或者虚拟机里把它隔离起来跑,这样权限就比较独立了。绝对不能用管理员权限账号来部署它。 技能市场这块也得小心。下载ClawHub的“技能包”前得好好看看代码审查一下才放心。对于那种让你“下载ZIP”、“执行shell脚本”或者“输入密码”的技能包要敬而远之。 社会工程学攻击和浏览器劫持这方面得防范一下。浏览器的沙箱和网页过滤器这些扩展都给用上,打开日志审计功能,发现不对劲的赶紧断开网关然后重置密码。千万别去点开不明网站或者陌生的链接去读那些不可信的文档。 最后还要建立长效的防护机制。定期检查修补漏洞的事不能忘,多关注OpenClaw官方的安全公告和NVDB这些漏洞库的预警消息。机关单位和个人用户可以把主流杀毒软件用上进行实时防护,出现问题赶紧处理。绝对不要关掉详细的日志审计功能。