今年3月11日,工业和信息化部网络安全威胁和漏洞信息共享平台给大家发了个通知,特意提了关于OpenClaw这种“龙虾”开源智能体的安全建议,说白了就是告诉你它能用,怎么用,还有哪些坑不能踩。既然NVDB把这些建议整理出来了,咱们就得对照着来。要是想让“龙虾”用得顺溜,首先得记住六件该干的事和六件不能干的事。第一件就是从官网把最新稳定版下载下来,顺手把自动更新打开,要是升级的时候心里没底,先把数据备份了,升级完了重启服务看看补丁到底管不管用,千万别图省事用第三方镜像或者老版本。 第二件是把互联网暴露的口子关紧点。隔三差五地自己查查有没有服务被架到公网上去了,要是被发现了赶紧下线整改。除非是工作必须得联网用,否则别让智能体直接暴露在网上。要是非连不可,那就用SSH这类加密通道来访问,访问源地址得限制死了,密码或者证书、硬件密钥这种强认证也得用起来。 第三件是手里别攥着太多权限。干活给多大权办多大事就行,像删除文件、发送数据这种核心操作最好多问一句或者找个人审批一下。最好把它装在容器或者虚拟机里头隔离运行,这样权限区域更干净。 第四件是用技能市场得小心点。去ClawHub下载“技能包”的时候先看清楚代码再安装。千万别搞那些要求下载ZIP、执行shell脚本或者让你输入密码的玩意儿。 第五件是防着社会工程学和浏览器劫持。浏览器里装个沙箱或者网页过滤器挡住可疑脚本挺好的。日志审计功能也别关了,万一碰到可疑动作赶紧断网重置密码。别瞎点来历不明的网站和链接。 最后一件是养成天天查漏洞的习惯。平时多看看官方公告和NVDB的预警消息。 总之,党政机关、企事业单位还有个人用户只要结合防护工具和杀毒软件实时盯着点,一般的风险都能解决掉。但记得千万别把详细日志审计给禁用了。