工信部發布關於防範「龍蝦」安全風險建議

工業和信息化部網絡安全威脅和漏洞信息共享平台發布關於防範OpenClaw（「龍蝦」）開源智能體安全風險的「六要六不要」建議。針對「龍蝦」典型應用場景下的安全風險，工業和信息化部網絡安全威脅和漏洞信息共享平台（NVDB）組織智能體提供商、漏洞收集平台運營單位、網絡安全企業等，研究提出「六要六不要」建議。

（一）使用官方最新版本。要從官方渠道下載最新穩定版本，並開啟自動更新提醒；在升級前備份數據，升級後重啟服務並驗證補丁是否生效。不要使用第三方鏡像版本或歷史版本。

（二）嚴格控制互聯網暴露面。要定期自查是否存在互聯網暴露情況，一旦發現立即下線整改。不要將「龍蝦」智能體實例暴露到互聯網，確需互聯網訪問的可以使用SSH等加密通道，並限制訪問源地址，使用強密碼或證書、硬件密鑰等認證方式。

（三）堅持最小權限原則。要根據業務需要授予完成任務必需的最小權限，對刪除文件、發送數據、修改系統配置等重要操作進行二次確認或人工審批。優先考慮在容器或虛擬機中隔離運行，形成獨立的權限區域。不要在部署時使用管理員權限賬號。

（四）謹慎使用技能市場。要審慎下載ClawHub「技能包」，並在安裝前審查技能包代碼。不要使用要求「下載ZIP」「執行shell腳本」或「輸入密碼」的技能包。

（五）防範社會工程學攻擊和瀏覽器劫持。要使用瀏覽器沙箱、網頁過濾器等擴展阻止可疑腳本，啟用日誌審計功能，遇到可疑行為立即斷開網關並重置密碼。不要瀏覽來歷不明的網站、點擊陌生的網頁鏈接、讀取不可信文檔。

（六）建立長效防護機制。要定期檢查並修補漏洞，及時關注OpenClaw官方安全公告、工業和信息化部網絡安全威脅和漏洞信息共享平台等漏洞庫的風險預警。黨政機關、企事業單位和個人用戶可以結合網絡安全防護工具、主流殺毒軟件進行實時防護，及時處置可能存在的安全風險。不要禁用詳細日誌審計功能。

（來源：央視新聞）