工信部给养虾人的六要六不要建议 防范"龙虾"智能体风险。全网掀起"养龙虾"热潮,与此同时,监管部门多次发布安全提醒。3月11日晚,工业和信息化部网络安全威胁和漏洞信息共享平台发布了关于防范OpenClaw("龙虾")开源智能体安全风险的"六要六不要"建议。工信部明确指出四个典型应用场景的安全风险:智能办公场景主要存在供应链攻击和企业内网渗透的风险;开发运维场景面临系统设备敏感信息泄露和被劫持控制的风险;个人助手场景存在个人信息被窃取和敏感信息泄露的风险;金融交易场景则可能引发错误交易甚至账户被接管的风险。为此,工信部建议使用官方最新版本,严格控制互联网暴露面,坚持最小权限原则,谨慎使用技能市场,防范社会工程学攻击和浏览器劫持,并建立长效防护机制。
具体来说,使用官方最新版本时应从官方渠道下载并开启自动更新提醒,在升级前备份数据,升级后重启服务并验证补丁是否生效。同时,避免使用第三方镜像版本或历史版本。此外,需定期自查是否存在互联网暴露情况,一旦发现立即下线整改。不将"龙虾"智能体实例暴露到互联网,确需访问时可使用SSH等加密通道,并限制访问源地址,采用强密码或证书、硬件密钥等认证方式。根据业务需要授予完成任务必需的最小权限,对重要操作进行二次确认或人工审批。优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域。部署时避免使用管理员权限账号。审慎下载ClawHub"技能包",并在安装前审查代码。避免使用要求"下载ZIP""执行shell脚本"或"输入密码"的技能包。使用浏览器沙箱、网页过滤器等扩展阻止可疑脚本,启用日志审计功能,遇到可疑行为立即断开网关并重置密码。不要浏览来历不明的网站、点击陌生链接或读取不可信文档。定期检查并修补漏洞,关注OpenClaw官方安全公告及工信部网络安全威胁和漏洞信息共享平台的风险预警。结合网络安全防护工具、主流杀毒软件进行实时防护,及时处置可能存在的安全风险。保留详细日志审计功能。
0 评论