鉴于“龙虾”(OpenClaw)所涉及的安全问题,工业和信息化部给广大用户发放了“六要六不要”的使用指南。这次由工信部网络安全威胁和漏洞信息共享平台牵头,联合智能体供应商、漏洞收集平台以及网络安全企业,共同针对“龙虾”在常见业务场景中可能面临的风险,提出了详尽的防护措施。 第一,建议用户务必采用官方提供的最新版本软件。从正规渠道获取稳定的程序包,并启用系统的自动更新提示功能;在进行系统升级之前要先备份数据,完成补丁安装后重新启动服务,确认修复生效。不要依赖第三方镜像版本或过时的历史版本。 第二,要求严格管控互联网暴露的范围。定期自查服务是否存在互联网连通情况,一旦发现异常必须立即下线进行整改。除了必须联网的情况外,不要让“龙虾”实例直接暴露在公网上。若确需互联网访问,建议采用SSH等加密通信方式来传输数据,并限制能够访问的源头地址,采用高强度密码、证书或硬件密钥来进行身份认证。 第三,强调执行最小权限原则。只授予业务执行所需的最低权限级别,对涉及文件删除、数据发送和系统配置修改的关键操作需进行二次验证或由人工审批放行。优先选择在容器或虚拟机环境中隔离运行应用,形成独立的权限边界。部署时尽量避免使用拥有管理员特权的账号进行操作。 第四,对ClawHub技能市场上的技能包要持谨慎态度。下载技能包前仔细审核其代码内容。对任何要求下载ZIP压缩包、执行shell脚本或者要求输入密码的技能包予以拒绝使用。 第五,注意防范社会工程学攻击和浏览器劫持行为。借助浏览器沙箱、网页过滤器等扩展功能屏蔽可疑脚本,启动日志审计功能来监控系统活动。遇到可疑情况立即切断网络连接并重置账户密码。避免浏览来源不明的网站、点击陌生的链接以及打开不受信任的文档。 第六,建立持续有效的防护机制。定期检查并修补发现的安全漏洞,密切留意OpenClaw官方发布的安全通告以及NVDB平台的风险预警信息。党政机关、企事业单位和个人用户可以搭配使用网络安全防护工具和主流杀毒软件来进行实时监控,及时处理潜在的安全隐患。不要停用详细的日志审计功能。