近日，工業(yè)和信息化部網(wǎng)絡安全威脅和漏洞信息共享平臺（NVDB）針對OpenClaw（“龍蝦”）開源智能體在典型應用場景中暴露的安全風險，組織智能體供應商、漏洞收集平臺運營方及網(wǎng)絡安全企業(yè)等多方力量，共同制定并發(fā)布了“六要六不要”安全防護指南，旨在幫助用戶有效應對潛在威脅。

根據(jù)指南建議，用戶應優(yōu)先從官方渠道獲取OpenClaw的最新穩(wěn)定版本，并開啟自動更新提醒功能。在執(zhí)行系統(tǒng)升級前，需完整備份關鍵數(shù)據(jù)，升級后需重啟服務并驗證補丁是否生效。平臺特別強調，避免使用第三方鏡像或歷史版本，以降低被植入惡意代碼的風險。

針對互聯(lián)網(wǎng)暴露面管控，指南明確要求用戶定期自查智能體實例是否直接暴露于公網(wǎng)環(huán)境。若發(fā)現(xiàn)存在暴露情況，應立即停止服務并整改。對于確需通過互聯(lián)網(wǎng)訪問的場景，建議采用SSH加密通道，并嚴格限制訪問源IP范圍，同時使用強密碼、數(shù)字證書或硬件密鑰等多因素認證方式加強防護。

在權限管理方面，指南倡導遵循最小權限原則，僅授予業(yè)務運行必需的系統(tǒng)權限。對于刪除文件、數(shù)據(jù)外發(fā)、系統(tǒng)配置修改等高風險操作，需建立二次確認或人工審批機制。推薦采用容器化或虛擬機隔離技術，為智能體運行構建獨立的權限邊界，堅決杜絕使用管理員賬戶直接部署應用。

針對第三方技能包使用風險，指南提醒用戶謹慎下載ClawHub平臺上的“技能包”，安裝前必須審查源代碼完整性。特別警示需警惕要求下載ZIP壓縮包、執(zhí)行Shell腳本或輸入賬戶密碼的技能包，此類組件可能包含后門程序或惡意代碼。

為防范社會工程學攻擊，指南建議用戶啟用瀏覽器沙箱、網(wǎng)頁過濾器等安全擴展，阻止可疑腳本執(zhí)行。同時開啟系統(tǒng)日志審計功能，對異常操作進行實時監(jiān)控。一旦發(fā)現(xiàn)可疑行為，應立即斷開網(wǎng)絡連接并重置所有賬戶密碼，避免使用來歷不明的網(wǎng)站鏈接或文檔文件。

在長效防護機制建設方面，指南要求用戶建立定期漏洞掃描制度，及時關注OpenClaw官方安全公告及NVDB平臺發(fā)布的風險預警。黨政機關、企事業(yè)單位及個人用戶可結合網(wǎng)絡安全防護工具和主流殺毒軟件，構建多層次防御體系，確保詳細日志審計功能始終處于啟用狀態(tài)，為安全事件追溯提供依據(jù)。