工信部最近发了个文,建议大家像养龙虾一样对待OpenClaw这个开源智能体,列出了六要六不要的安全指南。具体来说,针对它在常见场景里可能遇到的问题,NVDB平台召集了不少做智能体的厂商、漏洞平台的运营方还有安全企业一起商量。第一点是要用官方最新版本,最好直接从官方渠道下载,把自动更新提醒给开着。升级前记得把数据备份一下,升级完了重启一下服务看看补丁生效没,千万别用那些第三方镜像或者老版本的。第二点是要把互联网暴露面控制住,经常自己查一查有没有互联网接入的口子,一旦发现立马下线整改。千万不能让“龙虾”智能体直接暴露在网上,如果确实需要外网访问的话,用SSH这种加密的通道就行,再把能访问的源头地址给限制死,别用那种容易猜的密码或者证书、硬件密钥这些高级手段来认证。第三点要坚持最小权限原则,按业务需要只给能干活的最低权限就行。那些删除文件、发数据、改配置这种大事都得再确认一下或者走人工审批流程。尽量考虑在容器或者虚拟机里隔离着跑,划出一块独立的权限区域来。绝对不要在部署的时候直接用管理员账号去操作。第四点是对待ClawHub上的技能市场得小心点。要下载技能包前先好好审查一下代码内容。那些叫你下载ZIP文件、执行shell脚本或者要求输入密码的技能包千万别碰。第五点是要防着社会工程学攻击和浏览器劫持的事。给浏览器装个沙箱插件或者网页过滤器挡着点可疑的脚本,把日志审计功能给打开了。要是看见什么不对劲的举动马上断开网关再把密码重置一遍。千万不要去点那些来历不明的网站链接、读取不可信的文档。第六点是得建立个长期的防护机制。定期检查漏洞并补上补丁,多关注OpenClaw官方和工信部网络安全威胁与漏洞信息共享平台发布的风险预警。党政机关、企事业单位还有个人用户可以结合那些网络安全防护工具和主流杀毒软件来实时监测一下,及时把可能存在的风险给处理掉。千万别把详细的日志审计功能给关了。