开源AI代理OpenClaw近期在大陆爆红,掀起「养龙虾」热潮。大陆官方近日频频发出风险提示,继国家互联网应急中心10日发布关于OpenClaw安全应用的风险提示后,大陆工信部网络安全威胁和漏洞信息共享平台(NVDB)发布关于防范OpenClaw开源AI代理安全风险的「六要六不要」建议指,
财联社指出,针对「龙虾」典型应用场景的安全风险,NVDB智能体提供商、漏洞收集平台运营单位及网络安全企业等研究提出相关防护措施。建议指出,使用者应使用官方最新版本,从官方渠道下载最新稳定版本,开启自动更新提醒,并在升级前备份数据,升级后重启服务并验证补丁生效;同时不要使用第三方镜像或历史版本。
在控制互联网暴露面方面,建议定期自查是否存在暴露风险,发现问题立即下线整改。如需互联网访问,可采用SSH等加密通道并限制访问源地址,使用强密码或证书、硬件密钥等认证方式,避免将智能体实例直接暴露于互联网。
至于权限管理方面,建议坚持最小权限原则,仅授予完成任务所需权限,对重要操作实施二次确认或人工审批,并优先在容器或虚拟机中隔离运行;同时不要使用管理员权限帐号部署。
对于技能市场使用,建议审慎下载ClawHub技能包并审查代码,避免使用要求下载ZIP、执行shell脚本或输入密码的技能包。
在防范社会工程学攻击和浏览器劫持方面,建议使用浏览器沙箱、网页过滤器,启用日志审计,遇可疑行为立即断开网关并重置密码;同时不要浏览来源不明的网站或点击陌生链接。
NVDB还呼吁建立长效防护机制,定期检查并修补漏洞,及时关注官方安全公告与漏洞库风险预警,并结合网络安全防护工具、主流杀毒软件进行实时防护;不要禁用详细日志审计功能。NVDB强调,以上措施适用于党政机关、企事业单位及个人用户,旨在降低OpenClaw智能体在使用过程中可能引发的安全风险。
同日稍早,彭博引述知情人士指出,包括大陆大型银行在内的国企和政府机关已收到通知,出于安全风险担忧,限制在办公电脑设备和环境部署OpenClaw。已经安装相关应用的须立即停用,并安排删除或上报进行安全核查。
