近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)（NVDB）針對(duì)OpenClaw（“龍蝦”）開(kāi)源智能體的安全風(fēng)險(xiǎn)，聯(lián)合智能體提供商、漏洞收集平臺(tái)及網(wǎng)絡(luò)安全企業(yè)，共同制定并發(fā)布了“六要六不要”安全防護(hù)建議，旨在幫助用戶(hù)有效應(yīng)對(duì)潛在威脅。

在軟件版本管理方面，建議明確要求用戶(hù)必須通過(guò)官方渠道獲取最新穩(wěn)定版本，并開(kāi)啟自動(dòng)更新提醒功能。升級(jí)前需備份關(guān)鍵數(shù)據(jù)，升級(jí)后重啟服務(wù)并驗(yàn)證補(bǔ)丁是否生效，同時(shí)嚴(yán)禁使用第三方鏡像或歷史版本，以避免引入未知漏洞。

針對(duì)網(wǎng)絡(luò)暴露風(fēng)險(xiǎn)，建議強(qiáng)調(diào)需定期自查“龍蝦”智能體實(shí)例的互聯(lián)網(wǎng)暴露情況，發(fā)現(xiàn)后應(yīng)立即下線整改。若確需互聯(lián)網(wǎng)訪問(wèn)，必須通過(guò)SSH等加密通道，并嚴(yán)格限制訪問(wèn)源地址，同時(shí)采用強(qiáng)密碼、證書(shū)或硬件密鑰等多因素認(rèn)證方式，杜絕直接暴露于公網(wǎng)環(huán)境。

權(quán)限控制方面，建議提出應(yīng)遵循最小權(quán)限原則，僅授予業(yè)務(wù)必需的最低權(quán)限，并對(duì)刪除文件、發(fā)送數(shù)據(jù)等敏感操作實(shí)施二次確認(rèn)或人工審批。推薦在容器或虛擬機(jī)中隔離運(yùn)行，形成獨(dú)立權(quán)限區(qū)域，并明確禁止使用管理員權(quán)限賬號(hào)進(jìn)行部署。

對(duì)于技能市場(chǎng)使用，建議提醒用戶(hù)需謹(jǐn)慎下載ClawHub“技能包”，安裝前必須審查代碼完整性。特別強(qiáng)調(diào)應(yīng)拒絕使用要求“下載ZIP”“執(zhí)行shell腳本”或“輸入密碼”的技能包，以防惡意代碼注入或數(shù)據(jù)泄露。

在防范社會(huì)工程學(xué)攻擊方面，建議要求用戶(hù)啟用瀏覽器沙箱、網(wǎng)頁(yè)過(guò)濾器等工具阻止可疑腳本執(zhí)行，并開(kāi)啟日志審計(jì)功能。一旦發(fā)現(xiàn)可疑行為，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)連接并重置密碼，同時(shí)避免瀏覽不明網(wǎng)站、點(diǎn)擊陌生鏈接或讀取不可信文檔。

最后，建議強(qiáng)調(diào)需建立長(zhǎng)效防護(hù)機(jī)制，包括定期檢查并修補(bǔ)漏洞、關(guān)注官方安全公告及NVDB等漏洞庫(kù)的風(fēng)險(xiǎn)預(yù)警。黨政機(jī)關(guān)、企事業(yè)單位和個(gè)人用戶(hù)可結(jié)合網(wǎng)絡(luò)安全防護(hù)工具及主流殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控，并確保詳細(xì)日志審計(jì)功能始終處于啟用狀態(tài)，以便及時(shí)追溯安全事件。