近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)（NVDB）針對(duì)OpenClaw（“龍蝦”）開(kāi)源智能體在典型應(yīng)用場(chǎng)景中暴露的安全風(fēng)險(xiǎn)，組織智能體供應(yīng)商、漏洞收集平臺(tái)運(yùn)營(yíng)方及網(wǎng)絡(luò)安全企業(yè)等多方力量，共同制定并發(fā)布了“六要六不要”安全防護(hù)指南，旨在幫助用戶有效應(yīng)對(duì)潛在威脅。

根據(jù)指南建議，用戶應(yīng)優(yōu)先從官方渠道獲取OpenClaw的最新穩(wěn)定版本，并開(kāi)啟自動(dòng)更新提醒功能。在執(zhí)行系統(tǒng)升級(jí)前，需完整備份關(guān)鍵數(shù)據(jù)，升級(jí)后需重啟服務(wù)并驗(yàn)證補(bǔ)丁是否生效。平臺(tái)特別強(qiáng)調(diào)，避免使用第三方鏡像或歷史版本，以降低被植入惡意代碼的風(fēng)險(xiǎn)。

針對(duì)互聯(lián)網(wǎng)暴露面管控，指南明確要求用戶定期自查智能體實(shí)例是否直接暴露于公網(wǎng)環(huán)境。若發(fā)現(xiàn)存在暴露情況，應(yīng)立即停止服務(wù)并整改。對(duì)于確需通過(guò)互聯(lián)網(wǎng)訪問(wèn)的場(chǎng)景，建議采用SSH加密通道，并嚴(yán)格限制訪問(wèn)源IP范圍，同時(shí)使用強(qiáng)密碼、數(shù)字證書或硬件密鑰等多因素認(rèn)證方式加強(qiáng)防護(hù)。

在權(quán)限管理方面，指南倡導(dǎo)遵循最小權(quán)限原則，僅授予業(yè)務(wù)運(yùn)行必需的系統(tǒng)權(quán)限。對(duì)于刪除文件、數(shù)據(jù)外發(fā)、系統(tǒng)配置修改等高風(fēng)險(xiǎn)操作，需建立二次確認(rèn)或人工審批機(jī)制。推薦采用容器化或虛擬機(jī)隔離技術(shù)，為智能體運(yùn)行構(gòu)建獨(dú)立的權(quán)限邊界，堅(jiān)決杜絕使用管理員賬戶直接部署應(yīng)用。

針對(duì)第三方技能包使用風(fēng)險(xiǎn)，指南提醒用戶謹(jǐn)慎下載ClawHub平臺(tái)上的“技能包”，安裝前必須審查源代碼完整性。特別警示需警惕要求下載ZIP壓縮包、執(zhí)行Shell腳本或輸入賬戶密碼的技能包，此類組件可能包含后門程序或惡意代碼。

為防范社會(huì)工程學(xué)攻擊，指南建議用戶啟用瀏覽器沙箱、網(wǎng)頁(yè)過(guò)濾器等安全擴(kuò)展，阻止可疑腳本執(zhí)行。同時(shí)開(kāi)啟系統(tǒng)日志審計(jì)功能，對(duì)異常操作進(jìn)行實(shí)時(shí)監(jiān)控。一旦發(fā)現(xiàn)可疑行為，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)連接并重置所有賬戶密碼，避免使用來(lái)歷不明的網(wǎng)站鏈接或文檔文件。

在長(zhǎng)效防護(hù)機(jī)制建設(shè)方面，指南要求用戶建立定期漏洞掃描制度，及時(shí)關(guān)注OpenClaw官方安全公告及NVDB平臺(tái)發(fā)布的風(fēng)險(xiǎn)預(yù)警。黨政機(jī)關(guān)、企事業(yè)單位及個(gè)人用戶可結(jié)合網(wǎng)絡(luò)安全防護(hù)工具和主流殺毒軟件，構(gòu)建多層次防御體系，確保詳細(xì)日志審計(jì)功能始終處于啟用狀態(tài)，為安全事件追溯提供依據(jù)。