最近,工信部网络安全威胁和漏洞信息共享平台给大家提了个醒,咱们要特别小心OpenClaw这个开源智能体带来的安全风险。为了帮大家弄明白到底怎么防范,工业和信息化部(也就是咱们常说的工信部)把“六要六不要”的建议给放出来了。 这个建议的主要对象是跟智能体沾边的人,比如智能体提供商、负责收漏洞的平台运营方、还有搞网络安全的公司。大家听好,这六点里头不光有具体的要求,还有特别不要碰的坑。 第一个就是要用官方最新版。把软件从正规渠道下载下来,把自动更新提醒打开。升级前记得把数据备份好,升级完了赶紧重启服务,顺便看看补丁有没有起作用。别去用什么第三方镜像版本或者老版本。 第二点是要把互联网暴露面给管住。定期自己查查是不是把“龙虾”智能体挂到网上了,要是发现了立马下线去整改。千万别直接把智能体扔到公网上去,如果非得上网访问,可以用SSH这类加密的通道来连,把能访问的源地址限制住,用强密码、证书或者硬件密钥来做认证。 第三点是坚持最小权限原则。给智能体干活只给它必需的权限就行,像删文件、发数据、改系统配置这种关键操作得有二次确认或者要人去审批一下。最好是把它放在容器或者虚拟机里隔离运行,这样权限就分开了。部署的时候千万别用管理员权限的账号。 第四点是技能市场得谨慎挑着用。去ClawHub下技能包的时候悠着点劲儿,安装前先把代码过一遍眼看看对不对路。那种非得让你“下载ZIP”、“执行shell脚本”或者“输密码”的技能包千万别碰。 第五点要防着社会工程学攻击和浏览器劫持。浏览器里装上沙箱、网页过滤器这些扩展拦拦可疑的脚本;把日志审计功能打开盯着点;一旦发现不对劲马上断网并把密码重置了。别去看那种不明来路的网站、别点陌生链接、也别去读那些不靠谱的文档。 最后第六点得建立个长效防护机制。定期检查修补漏洞;多看看OpenClaw的官方公告和工信部那个漏洞库发的风险预警。党政机关、企业单位还有个人都可以用网络安全防护工具或者主流杀毒软件随时盯着。千万别把详细的日志审计功能给关了。