近日,工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)针对OpenClaw(“龙虾”)开源智能体在典型应用场景中暴露的安全风险,组织智能体供应商、漏洞收集平台运营方及网络安全企业等多方力量,共同制定并发布了“六要六不要”安全防护指南,旨在帮助用户有效应对潜在威胁。
根据指南建议,用户应优先从官方渠道获取OpenClaw的最新稳定版本,并开启自动更新提醒功能。在执行系统升级前,需完整备份关键数据,升级后需重启服务并验证补丁是否生效。平台特别强调,避免使用第三方镜像或历史版本,以降低被植入恶意代码的风险。
针对互联网暴露面管控,指南明确要求用户定期自查智能体实例是否直接暴露于公网环境。若发现存在暴露情况,应立即停止服务并整改。对于确需通过互联网访问的场景,建议采用SSH加密通道,并严格限制访问源IP范围,同时使用强密码、数字证书或硬件密钥等多因素认证方式加强防护。
在权限管理方面,指南倡导遵循最小权限原则,仅授予业务运行必需的系统权限。对于删除文件、数据外发、系统配置修改等高风险操作,需建立二次确认或人工审批机制。推荐采用容器化或虚拟机隔离技术,为智能体运行构建独立的权限边界,坚决杜绝使用管理员账户直接部署应用。
针对第三方技能包使用风险,指南提醒用户谨慎下载ClawHub平台上的“技能包”,安装前必须审查源代码完整性。特别警示需警惕要求下载ZIP压缩包、执行Shell脚本或输入账户密码的技能包,此类组件可能包含后门程序或恶意代码。
为防范社会工程学攻击,指南建议用户启用浏览器沙箱、网页过滤器等安全扩展,阻止可疑脚本执行。同时开启系统日志审计功能,对异常操作进行实时监控。一旦发现可疑行为,应立即断开网络连接并重置所有账户密码,避免使用来历不明的网站链接或文档文件。
在长效防护机制建设方面,指南要求用户建立定期漏洞扫描制度,及时关注OpenClaw官方安全公告及NVDB平台发布的风险预警。党政机关、企事业单位及个人用户可结合网络安全防护工具和主流杀毒软件,构建多层次防御体系,确保详细日志审计功能始终处于启用状态,为安全事件追溯提供依据。
