大家听说了没?工信部最近发了个安全提醒,专门针对那个叫“龙虾”的开源智能体OpenClaw。他们管这个的机构叫NVDB,就是那个网络安全威胁和漏洞信息共享平台。这次还特别拉上了智能体提供商、漏洞收集平台和网络安全公司一起研究,给咱们列了个“六要六不要”的清单。 第一条,咱们用的时候千万得认准官方最新版。得从官方渠道下最新的稳定版,顺便把自动更新提醒给开了。升级前最好先备份数据,升级完重启服务还得再验证一下补丁生效没。别去用那些第三方镜像版或者旧版本。 第二条,互联网暴露面必须严把关。隔三差五就得自己查查有没有露馅的地方,要是发现马上就得下线整改。“龙虾”的实例千万别直接扔到公网上去。要是真要用的话,可以用SSH那种加密的通道连上去,访问的源头地址也得死死限死,认证得用强密码、证书或者硬件密钥。 第三条,得坚持最小权限原则。按业务需要只给干活必须的那些权限就行了。删文件、发数据、改系统配置这些大事儿得做二次确认或者人工审批。最好是在容器或者虚拟机里单独隔离运行。部署的时候千万别用管理员账号。 第四条,“技能包”这东西要谨慎点用。别盲目下载ClawHub的技能包,安装前先看看代码有没有问题。特别小心那种要你“下载ZIP”、“执行shell脚本”或者“输密码”的技能包。 第五条,社会工程学和浏览器劫持这两种攻击得防着点。装个浏览器沙箱或者网页过滤器这类扩展来挡可疑脚本。日志审计功能千万别关了,遇到不对劲的赶紧断网重置密码。 最后一条是建立长效机制。定期检查修补漏洞是必须的,要多关注OpenClaw官方的安全公告还有工信部的NVDB平台。党政机关、企事业单位和咱们个人用户可以结合杀毒软件和防护工具来实时保护自己。总之详细的日志审计功能不能关掉!