PChome 3月11日消息,工信部网络安全威胁和漏洞信息共享平台(NVDB)正式发布防范OpenClaw(俗称“龙虾”)开源AI智能体安全风险的“六要六不要”建议。
PChome 3月11日消息,工信部网络安全威胁和漏洞信息共享平台(NVDB)正式发布防范OpenClaw(俗称“龙虾”)开源AI智能体安全风险的“六要六不要”建议,旨在引导党政机关、企事业单位及个人用户安全合规使用该工具,规避数据泄露、系统受控等风险。
PChome获悉,“龙虾”因红色图标得名,可自主执行文件处理、数据管理等任务,近期因易用性走红。此次发布的“六要六不要”涵盖版本使用、权限控制、技能包管理等核心环节。
具体来看,要使用官方最新版本,不要使用第三方镜像版本或历史版本;要严格控制互联网暴露面,不要将“龙虾”智能体实例暴露到互联网,确需互联网访问的可以使用SSH等加密通道,并限制访问源地址,使用强密码或证书、硬件密钥等认证方式。
要坚持最小权限原则,根据业务需要授予完成任务必需的最小权限,对删除文件、发送数据、修改系统配置等重要操作进行二次确认或人工审批,优先考虑在容器或虚拟机中隔离运行,形成独立的权限区域,不要在部署时使用管理员权限账号;要谨慎使用技能市场,不要使用要求“下载ZIP”、“执行shell脚本”或“输入密码”的技能包。
要防范社会工程学攻击和浏览器劫持,不要浏览来历不明的网站、点击陌生的网页链接、读取不可信文档;要建立长效防护机制,定期检查并修补漏洞,及时处置可能存在的安全风险,不要禁用详细日志审计功能。
