据消息,工业和信息化部威胁和漏洞信息共享平台(NVDB)近日发布安全建议,针对开源智能体OpenClaw(俗称“龙虾”)在典型应用场景下的安全风险,提出了“六要六不要”的防范措施。
该建议由NVDB组织智能体提供商、漏洞收集平台运营单位及企业共同研究制定。文件指出,OpenClaw在智能办公、开发运维、个人助手及金融交易等场景的应用,均存在特定且突出的安全风险。
在智能办公场景,主要存在供应链攻击和企业内网渗透风险。应对策略包括在独立网段隔离部署、进行充分安全测试、授予最小化权限,并留存完整操作日志以满足审计要求。
在开发运维场景,主要存在系统设备敏感信息泄露和被劫持控制的风险。建议避免在生产环境直接部署,优先在虚拟机或沙箱中运行,建立高危命令黑名单,并对重要操作启用人工审批。
在个人助手场景,主要风险是个人信息被窃和敏感信息泄露。应加强权限管理,仅允许访问必要目录;优先通过加密通道接入,并严格以加密方式存储API密钥等敏感信息。
在金融交易场景,主要存在引发错误交易甚至账户被接管的突出风险。需实施网络隔离与最小权限,建立人工复核和熔断应急机制,强化供应链审核,并落实全链路审计与安全监测。
为保障安全使用,NVDB同步提出“六要六不要”核心建议:
(一)使用官方最新版本。要从官方渠道下载最新稳定版本,并开启自动更新提醒。不要使用第三方镜像版本或历史版本。
(二)严格控制互联网暴露面。要定期自查是否存在互联网暴露情况。不要将智能体实例暴露到互联网,确需访问的应使用加密通道并限制访问源。
(三)坚持最小权限原则。要根据业务需要授予最小权限,对重要操作进行二次确认或人工审批。不要在部署时使用管理员权限账号。
(四)谨慎使用技能市场。要审慎下载ClawHub“技能包”,并在安装前审查代码。不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。
(五)防范社会工程学攻击和浏览器劫持。要使用浏览器沙箱等扩展阻止可疑脚本,启用日志审计。不要浏览来历不明的网站、点击陌生链接。
(六)建立长效防护机制。要定期检查并修补漏洞,及时关注官方安全公告及漏洞库预警。不要禁用详细日志审计功能。
建议还提供了部分安全基线及配置参考,涵盖智能体专有用户创建、限制互联网访问、开启详细日志、文件系统访问控制、第三方技能审查、安全自检、版本更新及安全卸载等方面,供用户部署时参照执行。
原文:(来源:)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/236443.html