針對(duì)“龍蝦”典型應(yīng)用場(chǎng)景下的安全風(fēng)險(xiǎn)，工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)組織智能體提供商、漏洞收集平臺(tái)運(yùn)營(yíng)單位、網(wǎng)絡(luò)安全企業(yè)等，研究提出“六要六不要”建議。

　?。ㄒ唬┦褂霉俜阶钚掳姹?。要從官方渠道下載最新穩(wěn)定版本，并開(kāi)啟自動(dòng)更新提醒；在升級(jí)前備份數(shù)據(jù)，升級(jí)后重啟服務(wù)并驗(yàn)證補(bǔ)丁是否生效。不要使用第三方鏡像版本或歷史版本。

　　（二）嚴(yán)格控制互聯(lián)網(wǎng)暴露面。要定期自查是否存在互聯(lián)網(wǎng)暴露情況，一旦發(fā)現(xiàn)立即下線(xiàn)整改。不要將“龍蝦”智能體實(shí)例暴露到互聯(lián)網(wǎng)，確需互聯(lián)網(wǎng)訪(fǎng)問(wèn)的可以使用SSH等加密通道，并限制訪(fǎng)問(wèn)源地址，使用強(qiáng)密碼或證書(shū)、硬件密鑰等認(rèn)證方式。

　?。ㄈ﹫?jiān)持最小權(quán)限原則。要根據(jù)業(yè)務(wù)需要授予完成任務(wù)必需的最小權(quán)限，對(duì)刪除文件、發(fā)送數(shù)據(jù)、修改系統(tǒng)配置等重要操作進(jìn)行二次確認(rèn)或人工審批。優(yōu)先考慮在容器或虛擬機(jī)中隔離運(yùn)行，形成獨(dú)立的權(quán)限區(qū)域。不要在部署時(shí)使用管理員權(quán)限賬號(hào)。

　　（四）謹(jǐn)慎使用技能市場(chǎng)。要審慎下載ClawHub“技能包”，并在安裝前審查技能包代碼。不要使用要求“下載ZIP”、“執(zhí)行shell腳本”或“輸入密碼”的技能包。

　?。ㄎ澹┓婪渡鐣?huì)工程學(xué)攻擊和瀏覽器劫持。要使用瀏覽器沙箱、網(wǎng)頁(yè)過(guò)濾器等擴(kuò)展阻止可疑腳本，啟用日志審計(jì)功能，遇到可疑行為立即斷開(kāi)網(wǎng)關(guān)并重置密碼。不要瀏覽來(lái)歷不明的網(wǎng)站、點(diǎn)擊陌生的網(wǎng)頁(yè)鏈接、讀取不可信文檔。

　　（六）建立長(zhǎng)效防護(hù)機(jī)制。要定期檢查并修補(bǔ)漏洞，及時(shí)關(guān)注OpenClaw官方安全公告、工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)等漏洞庫(kù)的風(fēng)險(xiǎn)預(yù)警。黨政機(jī)關(guān)、企事業(yè)單位和個(gè)人用戶(hù)可以結(jié)合網(wǎng)絡(luò)安全防護(hù)工具、主流殺毒軟件進(jìn)行實(shí)時(shí)防護(hù)，及時(shí)處置可能存在的安全風(fēng)險(xiǎn)。不要禁用詳細(xì)日志審計(jì)功能。

　　（本報(bào)記者 劉發(fā)為整理）