近日,工業和信息化部網絡安全威脅和漏洞信息共享平臺(NVDB)針對OpenClaw(“龍蝦”)開源智能體在典型應用場景中暴露的安全風險,組織智能體供應商、漏洞收集平臺運營方及網絡安全企業等多方力量,共同制定并發布了“六要六不要”安全防護指南,旨在幫助用戶有效應對潛在威脅。
根據指南建議,用戶應優先從官方渠道獲取OpenClaw的最新穩定版本,并開啟自動更新提醒功能。在執行系統升級前,需完整備份關鍵數據,升級后需重啟服務并驗證補丁是否生效。平臺特別強調,避免使用第三方鏡像或歷史版本,以降低被植入惡意代碼的風險。
針對互聯網暴露面管控,指南明確要求用戶定期自查智能體實例是否直接暴露于公網環境。若發現存在暴露情況,應立即停止服務并整改。對于確需通過互聯網訪問的場景,建議采用SSH加密通道,并嚴格限制訪問源IP范圍,同時使用強密碼、數字證書或硬件密鑰等多因素認證方式加強防護。
在權限管理方面,指南倡導遵循最小權限原則,僅授予業務運行必需的系統權限。對于刪除文件、數據外發、系統配置修改等高風險操作,需建立二次確認或人工審批機制。推薦采用容器化或虛擬機隔離技術,為智能體運行構建獨立的權限邊界,堅決杜絕使用管理員賬戶直接部署應用。
針對第三方技能包使用風險,指南提醒用戶謹慎下載ClawHub平臺上的“技能包”,安裝前必須審查源代碼完整性。特別警示需警惕要求下載ZIP壓縮包、執行Shell腳本或輸入賬戶密碼的技能包,此類組件可能包含后門程序或惡意代碼。
為防范社會工程學攻擊,指南建議用戶啟用瀏覽器沙箱、網頁過濾器等安全擴展,阻止可疑腳本執行。同時開啟系統日志審計功能,對異常操作進行實時監控。一旦發現可疑行為,應立即斷開網絡連接并重置所有賬戶密碼,避免使用來歷不明的網站鏈接或文檔文件。
在長效防護機制建設方面,指南要求用戶建立定期漏洞掃描制度,及時關注OpenClaw官方安全公告及NVDB平臺發布的風險預警。黨政機關、企事業單位及個人用戶可結合網絡安全防護工具和主流殺毒軟件,構建多層次防御體系,確保詳細日志審計功能始終處于啟用狀態,為安全事件追溯提供依據。
