近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）針對OpenClaw（“龍蝦”）開源智能體在典型應(yīng)用場景中暴露的安全風(fēng)險，組織智能體供應(yīng)商、漏洞收集平臺運營方及網(wǎng)絡(luò)安全企業(yè)等多方力量，共同制定并發(fā)布了“六要六不要”安全防護(hù)指南，旨在幫助用戶有效應(yīng)對潛在威脅。

根據(jù)指南建議，用戶應(yīng)優(yōu)先從官方渠道獲取OpenClaw的最新穩(wěn)定版本，并開啟自動更新提醒功能。在執(zhí)行系統(tǒng)升級前，需完整備份關(guān)鍵數(shù)據(jù)，升級后需重啟服務(wù)并驗證補(bǔ)丁是否生效。平臺特別強(qiáng)調(diào)，避免使用第三方鏡像或歷史版本，以降低被植入惡意代碼的風(fēng)險。

針對互聯(lián)網(wǎng)暴露面管控，指南明確要求用戶定期自查智能體實例是否直接暴露于公網(wǎng)環(huán)境。若發(fā)現(xiàn)存在暴露情況，應(yīng)立即停止服務(wù)并整改。對于確需通過互聯(lián)網(wǎng)訪問的場景，建議采用SSH加密通道，并嚴(yán)格限制訪問源IP范圍，同時使用強(qiáng)密碼、數(shù)字證書或硬件密鑰等多因素認(rèn)證方式加強(qiáng)防護(hù)。

在權(quán)限管理方面，指南倡導(dǎo)遵循最小權(quán)限原則，僅授予業(yè)務(wù)運行必需的系統(tǒng)權(quán)限。對于刪除文件、數(shù)據(jù)外發(fā)、系統(tǒng)配置修改等高風(fēng)險操作，需建立二次確認(rèn)或人工審批機(jī)制。推薦采用容器化或虛擬機(jī)隔離技術(shù)，為智能體運行構(gòu)建獨立的權(quán)限邊界，堅決杜絕使用管理員賬戶直接部署應(yīng)用。

針對第三方技能包使用風(fēng)險，指南提醒用戶謹(jǐn)慎下載ClawHub平臺上的“技能包”，安裝前必須審查源代碼完整性。特別警示需警惕要求下載ZIP壓縮包、執(zhí)行Shell腳本或輸入賬戶密碼的技能包，此類組件可能包含后門程序或惡意代碼。

為防范社會工程學(xué)攻擊，指南建議用戶啟用瀏覽器沙箱、網(wǎng)頁過濾器等安全擴(kuò)展，阻止可疑腳本執(zhí)行。同時開啟系統(tǒng)日志審計功能，對異常操作進(jìn)行實時監(jiān)控。一旦發(fā)現(xiàn)可疑行為，應(yīng)立即斷開網(wǎng)絡(luò)連接并重置所有賬戶密碼，避免使用來歷不明的網(wǎng)站鏈接或文檔文件。

在長效防護(hù)機(jī)制建設(shè)方面，指南要求用戶建立定期漏洞掃描制度，及時關(guān)注OpenClaw官方安全公告及NVDB平臺發(fā)布的風(fēng)險預(yù)警。黨政機(jī)關(guān)、企事業(yè)單位及個人用戶可結(jié)合網(wǎng)絡(luò)安全防護(hù)工具和主流殺毒軟件，構(gòu)建多層次防御體系，確保詳細(xì)日志審計功能始終處于啟用狀態(tài)，為安全事件追溯提供依據(jù)。