開源AI代理OpenClaw 近期在大陸爆紅,掀起「養龍蝦」熱潮。大陸官方近日頻頻發出風險提示,繼國家互聯網 應急中心10日發布關於OpenClaw安全應用的風險提示後,大陸工信部網絡安全威脅和漏洞信息共享平台(NVDB)發布關於防範OpenClaw開源AI代理安全風險的「六要六不要」建議指,
財聯社指出,針對「龍蝦」典型應用場景的安全風險,NVDB智能體提供商、漏洞收集平台運營單位及網絡安全企業等研究提出相關防護措施。建議指出,使用者應使用官方最新版本,從官方渠道下載最新穩定版本,開啟自動更新提醒,並在升級前備份數據,升級後重啟服務並驗證補丁生效;同時不要使用第三方鏡像或歷史版本。
在控制互聯網暴露面方面,建議定期自查是否存在暴露風險,發現問題立即下線整改。如需互聯網訪問,可採用SSH等加密通道並限制訪問源地址,使用強密碼或證書、硬件密鑰等認證方式,避免將智能體實例直接暴露於互聯網。
至於權限管理方面,建議堅持最小權限原則,僅授予完成任務所需權限,對重要操作實施二次確認或人工審批,並優先在容器或虛擬機中隔離運行;同時不要使用管理員權限帳號部署。
對於技能市場使用,建議審慎下載ClawHub技能包並審查代碼,避免使用要求下載ZIP、執行shell腳本或輸入密碼的技能包。
在防範社會工程學攻擊和瀏覽器劫持方面,建議使用瀏覽器沙箱、網頁過濾器,啟用日誌審計,遇可疑行為立即斷開網關並重置密碼;同時不要瀏覽來源不明的網站或點擊陌生鏈接。
NVDB還呼籲建立長效防護機制,定期檢查並修補漏洞,及時關注官方安全公告與漏洞庫風險預警,並結合網絡安全防護工具、主流殺毒軟件進行實時防護;不要禁用詳細日誌審計功能。NVDB強調,以上措施適用於黨政機關、企事業單位及個人用戶,旨在降低OpenClaw智能體在使用過程中可能引發的安全風險。
同日稍早,彭博引述知情人士指出,包括大陸大型銀行在內的國企和政府機關已收到通知,出於安全風險擔憂,限制在辦公電腦設備和環境部署OpenClaw。已經安裝相關應用的須立即停用,並安排刪除或上報進行安全核查。
討論區