3月11日这天,工信部那边的NVDB平台就给大伙儿发了个关于OpenClaw这个叫“龙虾”的开源智能体的安全建议,还专门给大家定了个“六要六不要”的规矩。工业和信息化部找来了智能体的卖家、漏洞收集平台的运营方还有网络安全公司,凑一块儿琢磨出了这个方案。 建议第一条是,大家得用官方最新版。把最新稳定版从官方网站给下下来,并且让它自动提醒你更新。升级前记得把数据备份好,升完级后得重启一下服务,看看补丁到底管用不管用。千万别用那些第三方镜像或者老版本的。 第二条讲的是控制互联网暴露面。要经常自己检查一下有没有连到网上去,如果发现了赶紧给下线整改。别把智能体实例直接暴露在互联网上。非要连网的话,可以用SSH这种加密通道,把访问源的地址限制死,还得用强密码或者证书、硬件密钥来验证身份。 第三条是权限最小化原则。干活的时候只给它完成任务必须的权限就行。删文件、发数据、改系统配置这种大事,必须得再确认一下或者让人手动审批。最好在容器或者虚拟机里把它隔开跑,这样就形成独立的权限区域了。部署的时候千万别用管理员账号直接登录。 第五条说的是防社会工程和浏览器劫持。给浏览器装上沙箱和网页过滤器之类的扩展拦住可疑脚本,把日志审计功能打开。如果碰上可疑的行为,立马断网并重置密码。千万别去点来路不明的网站链接或者读那些不靠谱的文档。 最后一条就是得有个长效的防护机制。定期查查漏洞并补上补丁,多盯着OpenClaw官方的公告和NVDB平台的预警看。不管是机关单位还是个人用户,都能用点网络防护工具或者主流杀毒软件来实时保护自己,及时把风险给处理掉。千万别把详细的日志审计功能给关了。