这回关于“龙虾”,工信部直接发文提了些实用建议。说是给用OpenClaw(也就是“龙虾”)这个开源智能体的朋友们划了道防线,“六要六不要”总共六招,给大家排排雷。这事儿是由工信部那个网络安全威胁和漏洞信息共享平台NVDB张罗起来的,专门叫上了智能体提供商、漏洞收集平台的老板们还有搞网络安全的公司,一起琢磨出来的。 首先呢,咱们得去官方渠道搞最新版本,把自动更新提醒也给开了。升级前先把数据备份好,升完级重启一下服务,再验证下补丁到底有没有生效。千万记住别去用那些第三方的镜像或者老版本的代码。 接着要管好互联网暴露面。定期自己查一查到底有没有被露出来了,要是发现有直接关了下线去整改。千万别把“龙虾”的实例直接扔到互联网上,实在非得连外网的话,用SSH这类加密通道就好。这时候还得限制一下访问的源头地址,强密码、证书或者硬件密钥这种认证方式都可以考虑用上。 然后呢,要坚持最小权限原则。给它点干活的最小权力就行,删文件、发数据、改系统配置这些大事儿得让它做二次确认或者人工审批。优先考虑把它关进容器或者虚拟机里头跑,形成个独立的区域。别一部署就用管理员账号去折腾。 至于ClawHub那个“技能包”,下载的时候要小心。装上之前得先翻翻代码看看有没有猫腻。那些让你直接“下载ZIP”、“执行shell脚本”或者让你“输入密码”的技能包最好别碰。 还有要防备社会工程学攻击和浏览器劫持的把戏。浏览器沙箱、网页过滤器这些插件赶紧装上堵住可疑脚本的路;日志审计功能也别停着;要是真遇上了可疑行为立马断开网关并重置密码。 最后建立个长效防护机制很重要。定期检查修补漏洞;盯着OpenClaw官方的安全公告还有工信部那个NVDB平台上的预警信息看;党政机关、企业单位甚至个人用户都能结合自己的工具和杀毒软件实时防着点。千万别把详细的日志审计功能给禁用掉了。