近日，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺（NVDB）針對OpenClaw（“龍蝦”）開源智能體的安全風(fēng)險，聯(lián)合智能體提供商、漏洞收集平臺及網(wǎng)絡(luò)安全企業(yè)，共同制定并發(fā)布了“六要六不要”安全防護(hù)建議，旨在幫助用戶有效應(yīng)對潛在威脅。

在軟件版本管理方面，建議明確要求用戶必須通過官方渠道獲取最新穩(wěn)定版本，并開啟自動更新提醒功能。升級前需備份關(guān)鍵數(shù)據(jù)，升級后重啟服務(wù)并驗證補丁是否生效，同時嚴(yán)禁使用第三方鏡像或歷史版本，以避免引入未知漏洞。

針對網(wǎng)絡(luò)暴露風(fēng)險，建議強調(diào)需定期自查“龍蝦”智能體實例的互聯(lián)網(wǎng)暴露情況，發(fā)現(xiàn)后應(yīng)立即下線整改。若確需互聯(lián)網(wǎng)訪問，必須通過SSH等加密通道，并嚴(yán)格限制訪問源地址，同時采用強密碼、證書或硬件密鑰等多因素認(rèn)證方式，杜絕直接暴露于公網(wǎng)環(huán)境。

權(quán)限控制方面，建議提出應(yīng)遵循最小權(quán)限原則，僅授予業(yè)務(wù)必需的最低權(quán)限，并對刪除文件、發(fā)送數(shù)據(jù)等敏感操作實施二次確認(rèn)或人工審批。推薦在容器或虛擬機(jī)中隔離運行，形成獨立權(quán)限區(qū)域，并明確禁止使用管理員權(quán)限賬號進(jìn)行部署。

對于技能市場使用，建議提醒用戶需謹(jǐn)慎下載ClawHub“技能包”，安裝前必須審查代碼完整性。特別強調(diào)應(yīng)拒絕使用要求“下載ZIP”“執(zhí)行shell腳本”或“輸入密碼”的技能包，以防惡意代碼注入或數(shù)據(jù)泄露。

在防范社會工程學(xué)攻擊方面，建議要求用戶啟用瀏覽器沙箱、網(wǎng)頁過濾器等工具阻止可疑腳本執(zhí)行，并開啟日志審計功能。一旦發(fā)現(xiàn)可疑行為，應(yīng)立即斷開網(wǎng)絡(luò)連接并重置密碼，同時避免瀏覽不明網(wǎng)站、點擊陌生鏈接或讀取不可信文檔。

最后，建議強調(diào)需建立長效防護(hù)機(jī)制，包括定期檢查并修補漏洞、關(guān)注官方安全公告及NVDB等漏洞庫的風(fēng)險預(yù)警。黨政機(jī)關(guān)、企事業(yè)單位和個人用戶可結(jié)合網(wǎng)絡(luò)安全防護(hù)工具及主流殺毒軟件進(jìn)行實時監(jiān)控，并確保詳細(xì)日志審計功能始終處于啟用狀態(tài)，以便及時追溯安全事件。